Jutiapa, Abril de 2014

Ingeniero
Csar Lzaro
Catedrtico

Universidad Mariano Glvez





Estimado Ingeniero:

A continuacin le presento el desarrollo del examen General Privado del rea de
Administracin de Sistemas de Informacin, el cual contiene las partes solicitadas en el
enunciado del problema sugerido por el Ing. Oscar Paz.

En el desarrollo de este examen trato de poner en prctica todos los conocimientos
adquiridos en el transcurso de los estudios realizados en la carrera de Ingeniera en
Sistemas, con el fin de poder demostrar el conocimiento adquirido de los conceptos y
prcticas durante el tiempo de estudios; para as obtener el resultado deseado en esta
evaluacin.


Esperando poder llenar sus expectativas, se suscribe de usted.


Atentamente,



Edson Mefiboset Cabezas Salguero.
0905-03-8551














PRESENTACIN


La informacin se ha posicionado actualmente en un lugar muy importante dentro de las
empresas, siendo uno de los principales recursos que poseen las mismas. La diferencia en
el mundo comercio-competitivo es la forma en que la informacin es capturada,
organizada e interpretada.
Es por ello que los sistemas de informacin han cambiado la forma en que operan las
organizaciones actuales. A travs de su uso se han logrado importantes mejoras, debido a
la automatizacin de procesos, facilitan la realizacin de clculos, almacenamiento,
abstraccin de informacin, toma de decisiones y lo ms importante, su implantacin
puede lograr ventajas competitivas o por lo menos reduce ventajas de los competidores.
En la actualidad podemos encontrarnos con que gran parte de las empresas cuentan con
un sistema de informacin, ya sea transaccional, de apoyo a la toma de decisiones o
estratgico, mas sin embargo las empresas crecen cada da ms y el constante cambio
tecnolgico las obliga a mudarse a sistemas mucho ms visionarios este es el caso de las
aplicaciones web.
Por lo que nuestro enfoque primordial debe de ser el de dar a conocer a las personas que
an no estn relacionadas con un sistema, las facilidades que este ofrece y a las personas
que en la actualidad lo utilizan, buscar la manera de facilitar an ms las tareas que ellos
requieren.
Es importante la efectiva realizacin de la etapa de anlisis y diseo del sistema, ya que es
en sta en la que empieza la vida de un nuevo sistema, el cual proveer resultados
durante toda su vida.














MARCO METODOLGICO


MISIN:
Lograr un sistema de ayuda, que ofrece servicios tecnolgicos de facturacin, flujo de
efectivos, entrega de medicamentos, control de inventarios y operaciones generales de la
cadena de Farmacias Salguero, comprometido a cumplir con las actividades, a travs de
mtodos y tecnologa actual, y as satisfacer expectativas de la Empresa solicitante.


VISIN:
Ser un sistema de calidad y lograr as tener el control de todos los procesos realizados, y
toda la informacin que se maneja en el mismo, que a travs de la innovacin e inclusin
de mdulos logre una optimizacin en cuanto a tiempo y trabajo, adems ofrece la
administracin de mdulos de informacin para el control de servicios y otros con una
herramienta de fcil uso y amigable, contribuyendo al desarrollo de Farmacias Salguero.


META:
Este proyecto que se disear, desarrollar e implementar tiene el propsito de mejorar
el manejo de la informacin de los recursos propios y dar un plus a la ejecucin de los
procesos que se manejan.



OBJETIVOS GENERALES:

Mejorar el manejo de la informacin a travs de la implementacin de un software, capaz
de dar soporte a las necesidades por las que actualmente atraviesa dicha institucin.

OBJETIVOS ESPECFICOS:

Obtener un mejor control de informacin
Obtener informacin oportuna y confiable del estado satisfaccin del cliente.










INTRODUCCIN



Para que las empresas empiecen a crecer deben tomar parte de las nuevas tecnologas de
la informacin y la comunicacin (TICs) de una manera que agilice los procesos realizados
en la entidad. En esta ocasin se necesita un sistema de informacin, para que pueda
gestionar mejor los recursos y expansin de la cadena de, Farmacias Salguero, as
mismo ver de qu manera mejorar el servicio prestado a sus clientes.
En la bsqueda de ese sendero al xito se ha venido desarrollando la teora de redes
informticas, lo cual no es algo reciente. La necesidad de compartir nuevos recursos e
intercambiar informacin fue una inquietud meramente desde los primero tiempos de la
informacin.
Bajo el enfoque enunciado y gracias a los avances tecnolgicos actuales, hoy por hoy
Farmacias Salguero ha orientado todos sus esfuerzos y recursos a la sistematizacin de sus
datos, de tal forma que ellos constituyan el soporte indispensable e inseparable en la
toma de decisiones. Para lograr este objetivo nada mejor que implementar una excelente
red de datos, que permita la fcil y fluida circulacin de informacin por todos y cada uno
de los departamentos que conforman la empresa, por todos y cada uno de los eslabones
que constituyen la pirmide jerrquica de la administracin






Tema 1
Farmacias Salguero



Resumen Ejecutivo:

El presente trabajo analiza la situacin actual de la empresa Farmacias Salguero, haciendo
un estudio de su entorno empresarial, recursos, capacidades, cultura
organizacional, tendencias del sector, competidores y retos potenciales.

As mismo hemos identificado oportunidades para mejorar el funcionamiento de la
empresa, entre ellas se ha propuesto una pgina web. Con lo cual la empresa podra
aumentar la interaccin con los clientes y mejorar sus ventas.

Farmacias Salguero es una empresa con cobertura nacional, presente en 3 departamentos
de Guatemala.

De igual manera hemos analizado los cambios y beneficios que estas tecnologas
produciran en la empresa y su impacto en el trabajo de las personas.


Descripcin de la empresa:
-Nombre comercial: Farmacias Salguero
-Direccin: 12 Calle y 14 Avenida, Zona 10
-Actividad econmica: Venta minorista de productos farmacia medicina y
artculos tocador.

Ubicacin y sucursales:
Cuenta con instalaciones en:
1. Guatemala
2. Jutiapa
3. Escuintla







Misin:
Contribuir con la salud y bienestar de la poblacin Guatemalteca, creando valor en toda la
cadena sanitaria; logrando accesibilidad de nuestra poblacin a productos y servicios
farmacuticos de calidad, con atencin especializada, respetando su salud y su condicin
de ciudadano; y generando rentabilidad a travs de la sinergia de nuestras unidades de
negocio, alta eficiencia operativa basada en el uso de tecnologa, un total conocimiento
del mercado, y servicios de calidad a nuestros usuarios internos y externos.
El logro de nuestra misin nos permitir cumplir con nuestras obligaciones para con la
comunidad, brindar seguridad y desarrollo a nuestros colaboradores y rentabilidad a las
inversiones.

Visin:
Ser la primera cadena de Farmacias del pas, con presencia cualitativa. Conformada por un
EQUIPO altamente competitivo de nivel internacional, comprometido con su trabajo
y apasionado por el servicio, que genere valor para nuestros usuarios con calidad,
eficiencia y mejora continua.
Lograr una amplia cobertura de nuestros mercados meta, contribuyendo al acceso
universal de productos y servicios farmacuticos de calidad, que permita alcanzar salud y
bienestar a nuestra Comunidad.



Entorno empresarial:

1.- Tendencias:
Las alianzas entre las transnacionales y pases productores de medicamentos.
Especializacin de las producciones.
Buscar nuevas formas farmacuticas que alarguen la vida del producto.
Diferenciacin del producto.
Interdisciplinariedad para obtener frmacos y biolgicos de mayor calidad.
Que el conocimiento se convierta en valor agregado
Relacin entre la informtica y el genoma humano.

2.- Retos:
El alto costo del cuidado de la salud
Las dificultades con el suministro de los servicios.
La desigualdad de los planes de beneficio con los medicamentos
Las nuevas tecnologas complejas
La tercera edad que conduce a enfermedades crnicas y degenerativas.
La baja disponibilidad de mdicos y otro personal de salud

3.- Caractersticas:
El desarrollo intensivo de conocimientos
Grandes inversiones de investigaciones y desarrollo necesarios para el mercado.
Crear un mercado interno con perspectivas de despegue internacional.
Ciclos cortos de tiempo para desarrollar los productos.
Capacidad ingenieril muy elevada para aplicar las nuevas tecnologas.
Eficiencia de los servicios que complementan la produccin.
Terapias medicamentos corta y efectivas para la poblacin.
Reduccin de los costos de los nuevos medicamentos.




Principales competidores:
1. Farmacias Galeno
2. Farmacias Fayco
3. Farmacias Meykos
4. Farmacias Batres
5. Farmacias Zuiva
6. Farmacias Similares
7. Farmacias Godoy
8. Farmacias Jose Gil
9. Farmacias M&E

Recursos y Capacidades:
Definiremos los recursos y capacidades como factores que la empresa posee o controla y
que le permitan formular o poner en marcha una estrategia competitiva:

- Tangibles:
Terrenos
Mquinas y equipos
Vehculos
Muebles y tiles
Muebles arrendados
Equipamiento Computacional
Construcciones y obras de infraestructura
Financieros: la poltica de financiamiento de Farmacias Salguero tiene un nivel de
endeudamiento bajo, para su financiamientos usa recursos propios.


- Intangibles:
Los Recursos Intangibles permanecen invisibles a la informacin contable, debida
principalmente a la dificultad para su valoracin, de difcil venta en el mercado y
susceptibles de mltiples usos. En general, podemos sealar que las capacidades estn
ligadas al capital humano, se apoyan sobre todo en los activos intangibles, especialmente
el conocimiento tecnolgico y organizativo de la empresa, gobiernan la transformacin de
los factores en productos y servicios, crean valor aadido y determinan la eficiencia y el
grado de renovacin de la empresa.

-No Humanos:

Tecnolgicos:
-PDS (punto de venta):
Sistema que entrega informacin sobre productos complementarios.
Aceptacin de mltiples formas de pago.
Efecta promociones y descuentos.
Nuevo centro de Distribucin.

-Humanos:
Para Farmacias Salguero la Inter-relacin profesional/consumidor es fundamental es por
ello y segn su poltica que esta es una de las ms importantes y diferenciadores que
posee, ya que esta capacidad es valorizada por los clientes y difcil de imitar por los
competidores: Habilidades, Conocimiento y Motivacin.



Cultura Organizacional:

Valores:
PROFESIONALISMO:
Tenemos una cultura de trabajo y brindamos calidad haciendo las cosas bien desde la
primera vez.

RAPIDEZ:
Nos anticipamos a las necesidades de la organizacin y actuamos con sentido de urgencia
para satisfacerlas en plazos breves.

INNOVACIN:
Somos emprendedores de nuevas ideas y soluciones imaginativas y creativas.

SERVICIO:
Nos distinguimos por nuestra calidez de trato y respeto por la persona.

AUSTERIDAD:
Administramos nuestros recursos de manera justa, sobria y eficiente, aprovechndolos al
mximo.


Anlisis FODA:

Fortalezas:
Cuenta con farmacuticos profesionales altamente capacitados.
Ubicacin estratgica en 3 departamentos de Guatemala.
Productos de calidad y a precios competitivos
Ofrece servicios complementarios a sus consumidores para una mayor fidelizacin.
Amplio surtido de medicamentos y productos relacionados con la salud, higiene y cuidado
personal.

Oportunidades:
adquirir un sistema de informacin que agilice los procesos contables del negocio.
Oportunidad de expandirse, gracias a la disminucin de farmacias independientes,
que estn dispuestas a vender sus negocios abandonando definitivamente el mercado.
Sector industrial en etapa de madurez lo que permite abrir nuevos nichos de
mercado.
Amenazas:
El consecuente crecimiento de las cadenas farmacuticas en Guatemala,
desembocan en una alta competitividad, que se ve reflejada en la adquisicin de
farmacias independientes y la aparicin de nuevos competidores.
Los competidores ms fuertes poseen una publicidad cualitativamente ms
agresiva que Farmacias Salguero.

Debilidades:
No existe un sistema de informacin que agilice los procesos contables del
negocio.
Las empresas lderes del mercado se encuentran fuertemente posicionadas en la
mente de los consumidores, por su tradicin y servicio de calidad
La falta de informacin al cliente, con respecto a la atencin personalizada que le
ofrece Farmacias Salguero, de un qumico farmacutico por cada local, para la atencin de
dudas y consultas referentes a medicamentos, tratamientos y otros.


Debilidades (D)

No hay informacin de
los servicios que se
ofrecen al cliente
No hay sistema de
informacin
computacional que
agilice el control de los
procesos

Fortalezas (F)

Personal altamente
capacitados
Ubicacin estratgica
Productos de calidad
precios competitivos
variedad de servicios
Amplio surtido de
productos


Oportunidades (O)

Disminucin de
farmacias
independientes
(competencia)
Entrega de
producto a
domicilio
Tecnologas Web
y mvil


Estrategias (DO)

Aprovechar la disminucin
de las farmacias
independientes para tener
una ventaja en nmero de
puntos de venta.
Utilizar una pgina Web
como medio de
informacin y publicidad.
Agilizar procesos
administrativos, a nivel
general y coordinar
entregas y traslados de
producto travs de la
aplicacin Web.


Estrategias (FO)

La capacidad de
nuestro personal y la
buena disposicin de
servicio
La informacin de
inventarios, y flujos de
efectivos, en el
momento preciso
ayudan a los gerentes
a tomar decisiones de
negocios de forma
rpida y confiable para
una buena
administracin.

Amenazas (A)

Crecimiento y
aparicin de
cadenas
farmacuticas

Publicidad fuerte
y agresiva de la
competencia


Estrategias (DA)


Aumentando la publicidad
e informacin de nuestros
servicios y la aplicacin
computacional que agilice
nuestros procesos
evitaremos ser afectados
ante el crecimiento o
aparicin de cadenas
farmacuticas.

Estrategias (FA)

Nuestro personal
capacitado en
medicamentos y el
aumento de los puntos
de venta, en los puntos
clave del pas
provocar un aumento
en la preferencia de
nuestros servicios y
productos.
Sumando a eso los
productos de calidad y
buen precio, una
entrega rpida en
donde se encuentre el
cliente.


Tema 2 b
Ciclo de vida.

La tcnica que se utilizo fue la entrevista ya que es un mtodo comn, por medio de
este se pudo obtener los requisitos del cliente y obtener los objetivos especficos y
generales.

Mtodo
Se utilizara el ciclo de vida de una red la cual se muestra en la siguiente figura:
conocido como PPDIOO (Preparar-Planear-Disear-Implementar-Operar-
Optimizar).
























Fases
Preparar:
En la fase de preparacin del ciclo de vida de la red, una empresa establece los
requerimientos de negocio y la visin tecnolgica correspondiente. La empresa
desarrolla una estrategia tecnolgica e identifica las tecnologas que pueden
soportar sus planes de crecimiento de mejor manera. Despus de evaluar el valor
financiero y empresarial de migrar a una solucin particular de tecnologa
avanzada, la empresa establece una arquitectura conceptual de alto nivel del
sistema propuesto y valida las caractersticas y funcionalidad documentadas en el
diseo de alto nivel a travs de pruebas de concepto.

Planear:
En la fase de planeacin del ciclo de vida de la red, una empresa evala su red para
determinar si la infraestructura de sistema existente, las localidades y el ambiente
operativo pueden soportar el sistema propuesto. La organizacin trata de asegurar
la disponibilidad de los recursos adecuados para administrar el proyecto de
despliegue de tecnologa, desde la planeacin hasta el diseo e implementacin.
Para planear la seguridad de la red, la empresa evala su sistema, redes e
informacin contra intrusos, as como tambin evala la red para detectar la
factibilidad de que redes externas y no confiables obtengan acceso a redes y
sistemas internos y confiables. Se crea un plan de proyecto para ayudar a
administrar las tareas, riesgos, problemas, responsabilidades, hitos crticos y
recursos requeridos para implementar cambios en la red. El plan de proyecto se
alinea con el campo de accin, el costo y los parmetros de recursos establecidos en
los requerimientos de negocio originales.

Disear:
Durante la fase de diseo del ciclo de vida de la red, una empresa desarrolla un
plan detallado completo que cumple con los requerimientos tcnicos y de negocios
actuales e incorpora especificaciones para soportar la disponibilidad, confiabilidad,
seguridad, escalabilidad y desempeo. Adicionalmente, la empresa desarrolla un
diseo especfico amplio para las operaciones del sistema tecnolgico y los
procesos y herramientas de administracin de la red. Donde sea relevante, se crean
aplicaciones hechas a medida para que la tecnologa pueda cumplir con los
requerimientos de la organizacin y le permita la integracin con la infraestructura
de red existente. Durante la fase de diseo se desarrollan una variedad de planes
para guiar actividades tales como configuracin y prueba de conectividad,
despliegue y comisionar el sistema propuesto, migracin de servicios de la red,
demostracin de funcionalidad de la red y validacin de la operacin de la red.
En esta fase, si la red ya est en produccin y se quiere aadir un nuevo elemento
de red, se deben tener en cuenta los siguientes puntos:
Requerimientos del proyecto.
Sitios afectados.
Ejemplos de configuracin.
Anlisis de trfico.
Resultado de las pruebas de concepto.
Dependencias y supuestos.
Requerimientos del negocio, finanzas, compromisos de gestin.

Implementar:
En la fase de implementacin, la empresa trabaja para integrar dispositivos sin
interrumpir a la red existente o crear puntos de vulnerabilidad. La empresa puede
montar y probar el sistema propuesto antes de desplegarlo. Despus de identificar
y resolver cualquier problema de implementacin del sistema, la empresa instala,
configura e integra los componentes del sistema e instala, configura, prueba y
comisiona el sistema de operaciones y administracin de la red. Una vez que se han
migrado los servicios de red, la empresa valida que su red operativa est
funcionando como se haba planeado, valida las operaciones del sistema y trabaja
para cerrar las brechas en las habilidades del personal.
En esta fase, debemos tener en cuenta varios puntos. Imaginemos una empresa que
quiere implementar telefona IP, el documento de diseo puede enumerar los
siguientes requerimientos:
Modelos especficos de switch con Power over Ethernet (PoE).
La forma de configurar las VLAN/Subnet de los telfonos y los PCs.
VLAN trunking entre la capa de acceso y la capa de distribucin.
La versin de software y conjunto de caractersticas de la IOS de los switches.
Caractersticas de alta disponibilidad.
Polticas de calidad de servicio (QoS) que den prioridad al trfico de voz sobre
otros tipos de trfico.
Tras una revisin exhaustiva, debemos desarrollar un plan de implementacin el
cual requiere de los siguientes elementos:
Un listado con la localizacin de todos los campus, con anotaciones de que
switches requieren una actualizacin y cules no.
Nmero total de switches que se van a pedir, precio y plazos de entrega.
Una tabla en la que se especifiquen las VLANs y los nmeros de subred que se
utilizarn para los telfonos y para los PCs.
El rango de direcciones IP de cada subred para poderlas aadir al servidor
DHCP.
Un listado de switches que requieran actualizar la IOS.
Anotar configuraciones tpicas de switches de la capa de acceso, incluyendo
VLAN trunking, alta disponibilidad y QoS.
Una vez realizada la implementacin, se deber realizar una verificacin de la
misma. Para ello deberemos realizar acciones como:
Despus de realizar cambios en la configuracin de un switch, utilizaremos el
comandoshow interface status para confirmar que los dispositivos estan
bien conectados (speed, duplex mode, ).
Usaremos el comando show cdp neighbor para verificar que los telefonos
Cisco IP Phone han sido detectados.
Usaremos el comando show mac-address-table dynamic interface para
verificar la direccin MAC de los telfonos IP y de los PCs.
Observaremos el display del telfono para confirmar que obtiene una direccin
IP y que se descarga el firmware.
Realizaremos pruebas de llamadas desde los telfonos IP.

Operar:
Las operaciones de la red representan una gran parte del presupuesto de TI de una
empresa. Una organizacin gasta tiempo considerable en esta fase, viviendo con la
tecnologa dentro del ambiente de la empresa. A travs de la fase de operacin, la
empresa mantiene la salud continua del sistema, monitoreando y administrndola
proactivamente para maximizar su desempeo, capacidad, disponibilidad,
confiabilidad y seguridad. La empresa administra y resuelve problemas o cambios
que afecten al sistema, reemplazando o reparando hardware conforme sea
necesario. Realiza movimientos fsicos y lgicos, aade y cambia y mantiene
actualizados el software y aplicaciones del sistema y administra a los proveedores
de hardware y software para ayudar a asegurar la entrega eficiente de productos o
servicios.

Optimizar:
El objetivo mximo de la fase de optimizacin es alcanzar la excelencia operativa a
travs de esfuerzos continuos para mejorar el desempeo y funcionalidad del
sistema. Una empresa trata de asegurar que su sistema operacional est
cumpliendo con los objetivos y requerimientos establecidos en el caso de negocio
de la empresa y trabaja para mejorar el desempeo y seguridad del sistema. Las
prcticas de administracin se mejoran al perfeccionar la habilidad de despliegue
de la red y las eficiencias operativas a travs de un sistema de administracin de la
red que automatiza, integra y simplifica los procesos y herramientas de
administracin.
Los requerimientos del negocio se actualizan y contrastan regularmente con la
estrategia de tecnologa, desempeo y operaciones de la red. La red debe ser
adaptable y debe estar preparada para lidiar con requerimientos nuevos o
cambiantes. Conforme se modifica para soportar nuevos requerimientos
empresariales o para mejorar el desempeo, la red reingresa a la fase de
preparacin de su ciclo de vida.

Visin simplificada del planteamiento de servicios de ciclo de vida de la red

Tema 2 c


Gerente General: Persona encargada de la alta gerencia o bien dueo de la empresa,
administra y coordina toda la empresa.
Director del Departamento de Informtica: Persona encargada de la gestionar, coordinar
y administrar todo los procesos del desarrollo del software.
Director del Departamento de Finanzas: Persona ejecutiva a cargo de la gestin financiera
de la organizacin. Es responsable de la planificacin, ejecucin e informacin financieras.
Director del Departamento de Marketing: Persona encargada del anlisis, planeacin,
implementacin y control de programas diseados para crear, construir y mantener
intercambios de beneficio mutuo con los mercados objetivo. El director de marketing
tiene la tarea de influir sobre el nivel, el tiempo y la composicin de la demanda de modo
que pueda alcanzar los objetivos organizacionales.
Director del Departamento de Recurso Humano: es el encargado de coordinar al personal
que labora en la empresa, resuelve los conflictos entre el personal cuando se presenten,
motiva y supervisa a la fuerza laboral, entre otros.
Gerente General
Director Depto.
Informtica
Jfe de Analisis Jfe de Diseo
Jfe de
Implementacion y
Pruebas
Jfe de Soporte
Tcnico
Auxiliar Programador 1
Programador 2
Auxiliar
Jfe Investigacin
Director Depto.
Finanzas
Director Depto.
Marketing
Director Depto.
Recursos Humanos
Tcnico 1
Contador General Publicista
Espacialista en
Capacitacin
Analista de Sistemas: Persona encargada de analizar un problema y describirlo con el
propsito de ser solucionado mediante un sistema de informacin, con el fin de
automatizarlos, definiendo los requerimientos y limitando el alcance del mismo.
Diseador de Sistemas: Persona responsable de especificar las caractersticas de la
arquitectura del sistema y que servir de base para el trabajo de los programadores.
Probador e Implementador de Sistemas: Persona que planifica y llevan a cabo pruebas de
software de los ordenadores para comprobar si funcionan correctamente y cumplen los
requerimientos y especificaciones del cliente. Identifican el riesgo de sufrir errores de un
software, detectan errores y los comunican. Evalan el funcionamiento general del
software y sugieren formas de mejorarlo. Pone en marcha todos los parmetros de la base
de datos y la corre ya en el lugar destinado cuando ste ha sido finalizado y aprobado.
Soporte Tcnico: Persona que debe asistir a los usuarios a distancia o personalmente para
solucionar los problemas con los que se encuentran al usar herramientas informticas,
especialmente cuando la mquina o software no funciona, tanto a los usuarios internos
como externos.
Investigacin: Persona encargada de investigar y/o desarrollar tecnologas nuevas para
mantener a la empresa a la vanguardia.
Programador: Persona que escribe, depura y mantiene el cdigo fuente de un programa
informtico, es decir, del conjunto de instrucciones que ejecuta el hardware de una
computadora para realizar una tarea determinada.
Tcnico de Mantenimiento: Persona que tiene a su cargo llevar a cabo el soporte tcnico.
Contador General: Persona que tiene a su cargo llevar la contabilidad de la empresa.
Publicista: Persona que tiene a su cargo persuadir a los clientes a comprar o probar
nuestros productos, o demostrar por qu su negocio necesita un servicio especfico.
Especialista en Capacitacin: Persona que tiene a su cargo disear y llevan a cabo
programas de capacitacin y desarrollo para mejorar el desempeo individual y
organizacional. Pueden analizar las necesidades de capacitacin.
Auxiliares: Personas que asisten y trabajan de la mano con sus superiores en la ayuda de
cualquier evento que su puesto lo requiera.


TEMA 3
IMPLEMENTACION DE LA INFRAESTRUCTURA DE RED

a) Interrelacion de los servicios instalados con los existentes

Los servicios instalados son los siguientes:

1. Call Center
2. Sistema de pago en linea
3. Control del flujo de activos
4. Voip
5. Centro de Datos

Los servicios existentes:
1. Pagina web (informativa)
2. correo electrnico.

La interrelacin que tendrn los servicios instalados con los existentes en cuanto al acceso
a datos, es que si bien los formularios sern diferentes las tablas a las que tendrn acceso
sern las mismas.
Se utilizara la mayora de la infraestructura ya existente del lado del cliente, se comprar
servidores nuevos para implementar los servicios de pago en linea, correos electrnicos,
bases de datos, etc.

b) diagramas de los cuadros de trafico, volumenes de datos, tolerancia de fallas, seguridad
Datos en megabytes (diarios)

Trafico
Volumen de
datos
Tolerancia de
fallas
Seguridad
Red cableada 5,189 1500 90% 90%
Red
inalmbrica
3,176 1355 75% 60%

Tolerancia a fallas: La expectativa de que Internet est siempre disponible para millones
de usuarios que confan en ella requiere de una arquitectura de red diseada y creada con
tolerancia a fallas. Una red tolerante a fallas es la que limita el impacto de una falla del
software o hardware y puede recuperarse rpidamente cuando se produce dicha falla.
Estas redes dependen de enlaces o rutas redundantes entre el origen y el destino del
mensaje. Si un enlace o ruta falla, los procesos garantizan que los mensajes pueden
enrutarse en forma instantnea en un enlace diferente transparente para los usuarios en
cada extremo. Tanto las infraestructuras fsicas como los procesos lgicos que direccionan
los mensajes a travs de la red estn diseados para adaptarse a esta redundancia.

sta es la premisa bsica de la arquitectura de redes actuales.




c) Planificacin de los nuevos servicios de red a incorporar

wifi
La planificacin desde un punto de vista tcnico abarca la red de acceso
inalmbrico para conectar a los usuarios, la red de transporte o transmisin que
permite llevar el trfico de los usuarios al backbone de la red y el core network.
En cada caso las metas a cumplir son diferentes y obedecen a visiones distintas,
tanto desde la perspectiva tcnica como de mercado y financiera.

Acceso a internet
Seleccionar un proveedor de Internet
El primer paso es disponer de conexin a Internet. Por lo general, el proveedor de acceso
nos proporcionar un
router con varias salidas LAN, alguna de las cuales podemos utilizar para conectar el nodo
gateway. Las redes
malladas funcionan como la red elctrica de un pas: cuantos ms gateways (el
equivalente a una central
elctrica), es decir, ms conexiones a Internet tenga la red, mayor rendimiento para la
conexin, ms
disponibilidad y menos latencia. Por ejemplo: en la siguiente ilustracin puede observarse
que la red dispone
de dos accesos, lo que garantiza un funcionamiento ptimo:

Distribucin de conexiones a Internet
Si slo disponemos de un punto de acceso a Internet para toda la red mesh, deber estar
lo ms centrado
posible en la red. Los nodos repetidores se han de distribuir de manera que el nmero de
saltos (hops) entre
ellos sea igual o menor a 3. El motivo es que el rendimiento o la velocidad de conexin
disminuye a medida
que la informacin "salta" entre los diferentes repetidores hasta el gateway. Lo ideal por
tanto es situar los
nodos de manera que exista un solo salto entre ellos, tal como puede apreciarse en la
siguiente figura, que
ilustra una instalacin tpica en el interior de un edificio:



d) Relaciones y distancia a cubrir



Determinacin del nmero de nodos
La respuesta a esta pregunta depender de las necesidades particulares de cada caso. Por
poner un ejemplo:
no es lo mismo desplegar una red mesh en un complejo de chalets que en un complejo de
apartamentos, ya
que la distribucin de seal es fundamentalmente horizontal en el primero y vertical en el
segundo. Como
norma general, en urbanizaciones de tamao mediano, con un nodo por cada 4-6
apartamentos y una sola
conexin a Internet es ms que suficiente para lograr un resultado satisfactorio. En
urbanizaciones de casas
aisladas, un nodo por casa debera ser suficiente, aunque si la casa es grande quiz sera
conveniente aadir
algn nodo adicional.
En la siguiente captura de pantalla se refleja un clculo tpico para la determinacin del
nmero de nodos
necesarios para una instalacin en un pueblo pequeo:


distancia a cubrir

Planificacin para instalaciones de exterior

De nuevo, como en el caso anterior, la instalacin ms apropiada depender de las
condiciones concretas del
proyecto que tengamos planeado. Generalmente, en grandes redes, es necesaria una
combinacin de
instalaciones de exterior y de interior.

Teniendo en cuenta que el alcance de radiacin de un nodo mesh en espacios abiertos sin
obstculos en la
lnea de visin oscila entre 200 y 300 metros, el nmero de equipos a seleccionar en
instalaciones de exterior
depender de la superficie a cubrir.

En ocasiones, en particular cuando los nodos se encuentran algo ms distanciados, es
necesario el empleo de
antenas direccionales u omnidireccionales. Aunque un nodo de interior y uno de exterior
son bsicamente
iguales a diferencia del precio y de la proteccin contra la intemperie, un nodo de interior
puede adaptarse
fcilmente para su funcionamiento en el exterior, haciendo uso de una caja estanca y
llevando hasta ella la
conexin a Internet por cable LAN, si se trata de un gateway o simplemente alimentacin
elctrica en el caso
de un repetidor. En la siguiente figura puede observarse un nodo diseado especialmente
para condiciones de
exterior, frente a un nodo para uso en interiores.


Otro uso tpico en instalaciones de exterior es cuando desean unirse dos redes mesh muy
distanciadas entre s
(dos complejos de chals, por ejemplo). En este caso es necesario el empleo de dos
antenas direccionales tipo
planar o yagui. Tambin es habitual cuando se quiere minimizar el nmero de nodos
empleando antenas de
mayor ganancia. De todas formas, por lo general las instalaciones de exterior apenas son
necesarias en las
situaciones ms comunes en que se despliegan redes mesh. Por eso, es necesario
determinar previamente si
las instalaciones de exterior son realmente necesarias en nuestro proyecto particular. El
desarrollo de la red es
ms rpido cuando no es necesario situar nodos en exteriores.



e) Medios de comunicacin posibles.

Medios almbricos
TIPOS DE CABLE PAR TRENZADO

Cable par trenzado no apantallado (UTP):

El cable par trenzado empleado, sin ningn tipo de pantalla adicional y con una
impedancia caracterstica de 100 Ohmios. El conector ms frecuente con el UTP es el RJ45,
aunque tambin puede usarse otro (RJ11, DB25, DB11, etc), dependiendo del adaptador
de red.

Categora 1: Esta especialmente diseado para redes telefnicas, es el tpico cable
empleado para telfonos. Alcanzan como mximo velocidades de hasta 4 Mbps. (Voz
solamente).

Categora 2: De caractersticas idnticas al cable de categora 1. (Datos 4 Mbps).

Categora 3: Es utilizado en redes de ordenadores de hasta 16 Mbps. de velocidad y con
un ancho de banda de hasta 16 Mhz.

Categora 4: Esta definido para redes de ordenadores tipo anillo como Token Ring con un
ancho de banda de hasta 20 MHz y con una velocidad de 20 Mbps.

Categora 5: Es un estndar dentro de las comunicaciones en redes LAN. Es capaz de
soportar comunicaciones de hasta 100 Mbps. con un ancho de banda de hasta 100 Mhz.
Este tipo de cable es de 8 hilos, es decir cuatro pares trenzados. La atenuacin del cable
de esta categora viene dado por esta tabla referida a una distancia estndar de 100
metros.

Categora 5e: Minimiza la atenuacin y las interferencias. Esta categora no tiene
estandarizadas las normas aunque si esta diferenciada por los diferentes organismos.

Categora 6: No esta estandarizada aunque ya se est utilizando. Se definirn sus
caractersticas para un ancho de banda de 250 Mhz.

Categora 7: No esta definida y mucho menos estandarizada. Se definir para un ancho de
banda de 600 Mhz. El gran inconveniente de esta categora es el tipo de conector
seleccionado que es un RJ-45 de 1 pines.


TABLA DE CATEGORAS

Tipo

Uso

Categoria 1

Voz solamente (cable telefnico)

Categoria 2

Datos hasta 4 Mbps (LocalTalk [Apple])

Categoria 3

Datos hasta 10 Mbps (Ethernet)

Categoria 4

Datos hasta 20 Mbps (16 Mbps Token Ring)

Categoria 5

Datos hasta 100 Mbps (Fast Ethernet)


CABLE DE FIBRA PTICA

El cable de fibra utiliza luz para transmitir las seales de datos. La luz transmite seales
digitales usando impulsos de luz para representar 0 y 1. El cable de fibra ptica est
compuesto de uno o ms cables pequeos de vidrio o plstico. Cada cable, llamado fibra
ptica, es tan fino como un cabello humano.

TIPOS CABLE DE FIBRA PTICA

1. Fibra multi-modal de ndice escalonado (Multimode step index)

Utiliza una cobertura plstica o un cladding parecido a un espejo alrededor del cable
para reflejar la luz desde el lser o LED.

2. Fibra multi-modal de ndice gradual (Multimode graded index)
En este tipo de fibra ptica el ncleo est hecho de varias capas concntricas de material
ptico con diferentes ndices de refraccin.

3. Fibra mono-modal (Single-mode cable)
Utiliza un cable muy delgado rodeado por una envoltura que concentra el calor. Su
principal diferencia es que enva la luz en forma directa sin necesidad de reflexin en las
paredes de los cables.

Ventajas del cable de fibra ptica:

Alta velocidad de transmisin en lo que puede transmitir a 100 Mbps o ms.
INALAMBRICOS.
Radio
La radio es un medio inalmbrico que transfiere datos a travs de ondas
electromagnticas de baja frecuencia a lugares distantes mediante
un conductor elctrico y una antena. La frecuencia de transmisin -o velocidad de viaje
y procesamiento de los datos- para la informacin transmitida mediante un sistema de
radio oscila entre los 10 kilohertz (kHz) a 1 gigahertz (GHz), y las frecuencias son
reguladas por la Comisin Federal de Comunicaciones (FCC, por sus siglas en ingls).
A veces, las ondas electromagnticas tienen interferencias en caso de las obstrucciones
tales como montaas o en ubicaciones de recepcin muy lejanas a la seal de la radio.
As, en dichas circunstancias, se inhabilita la frecuencia.

f) Topologas fsicas y lgicas

topologa a utilizar
red malla

Una red mesh es una red mltiplemente conexa, en la cual los nodos tienen ms de
una conexin con ms de un nodo diferente. No necesariamente deben conectarse
todos contra todos, ste es un caso especial que se denomina full-mesh, mientras que
el caso genrico suele denominarse partial-mesh, por oposicin


PLANIFICACION DE UNA RED MESH.
Seleccionar un proveedor de internet.
Distribucin de conexiones a internet.
Determinacin del nmero de nodos.
Planificacin para instalaciones de exterior.
En la determinacin del nmero de nodos, depende de las necesidades
particulares de cada caso, por ejemplo: no es lo mismo desplegar una red mesh
en un complejo de chalets que en un complejo de apartamentos, la una es una
distribucin de seal horizontal y la otra en vertical.
SEGURIDAD.
La mayora de los problemas de seguridad WLAN, son debidos al medio de
trasmisin utilizado, el aire, que es fcil acceso para los atacantes.
Por ello, hay que establecer unas medidas para asegurar la privacidad de nuestros
datos:
1. Medios Fsicos.
2. Medios Lgicos.
SEGURIDAD LOGICA:
Son tcnicas de cifrado e integridad de la informacin y tcnicas de
autenticacin/Autorizacin/Accounting (AAA), estos dos tipos de tcnicas pueden
complementarse.
Los pasos para hacer mas segura una WLAN son:
No permitir pblicamente la SSID de la WLAN, para no permitir la conexin al
AP:
Definicin de un listado de los dispositivos que pueden acceder o no, mediante la
direccin MAC del dispositivo.
CIFRADO E INTEGRIDAD DE LA INFORMACION.
Se encargan de mantener la privacidad de nuestros datos y de evitar posibles
suplantaciones de personalidad en la comunicacin.
El cifrado se basa en claves compartidas previamente (Preshared Key) o que se
asignen en forma dinmica, estos pueden ser:
WEP (Wired Equivalent Privacy).
WAP (WiFi Protected Access).
WAP2.

g) Seleccin de los enlaces fisicos

router
cable cat 5e
wifi
Access point


Tercer Nivel
Tecnologa y Data Center

Segundo Nivel
Contabilidad

Primer Nivel
Servicio al Cliente
Cuarto Nivel
Bodega





Fibra ptica Multimodo Cable UTP 5E
Conexin a pc
Conexin a Telefona
Primer Nivel:
Servicio al Cliente
Segundo Nivel:
Contabilidad
Tercer Nivel:
Departamento de Tecnologa y Data Center
Cuarto Nivel:
Bodega




Ocupa el primer nivel, tiene un total de 20 PC. 20 Telfonos Directos.

La altura de cada piso es de 5.00 metros.

La distribucin por dependencia y por equipos y hardware para esta planta, se relaciona a
continuacin en el siguiente cuadro:

DEPENDENCIA TIPO DE EQUIPO CANTIDAD
Servicio Al Cliente
Computador Desktop
Telfono Directo
Impresora en Red
12
12
3
Quejas
Computador Desktop
Telfono Directo
Impresora en Red
6
6
2
Pedidos
Computador Desktop
Telfono Directo
Impresora en Red
2
2
1
Cuarto de Equipos
Servidor local
Router
Switch 48 puertos
1
1
1

TOTALIZACION EQUIPOS PARA EL NIVEL 1: SERVICIO AL CLIENTE

TIPO DE EQUIPO CANTIDAD
PC Desktop 20
Lneas telefnicas 20
Impresora de Red 6
Router 1
Switch 48 puertos 1
Servidor 1
Router Inalmbrico 1


La distribucin de las diferentes reas se puede apreciar en forma detallada en los planos anexos a
continuacin.

1-001 Distribucin y localizacin de equipos por dependencias y baos.

1-002 Distribucin y localizacin detallada para Telecomunicaciones y Datos

La distribucin principal se hace a partir del centro de cableado en el (IDF) donde se halla el switch
de voz y datos, luego hacia los equipos que lo requieren.

CABLEADO HORIZONTAL

Grficamente la lnea naranja en este plano nos muestra al detalle como se halla la distribucin del
cableado UTP-5E Y UTP 6A para los diferentes nodos.

La canaleta utilizada es la misma que se utiliza para la distribucin elctrica y que es del tipo doble
cavidad.



Cada nodo cuenta con 2 tomacorrientes que manejan dos circuitos uno para datos y otro para
telefona, los cuatro ensamblados con cable UTP-5E










CABLE UTP:
El cable UTP para el cableado horizontal de voz y datos ser Categora 5e y 6a. El cable debe
permitir la transmisin de datos a altas velocidades (100Mbps y 1000Mbps respectivamente) y
deber soportar los siguientes estndares: LAN 100 BASE TX, Gigabit Ethernet, Multimedia, etc.

JACKS Y TOMAS: Acorde a la norma EIA/TIA-568-A, se utilizan Jacks y Tomas tipo RJ45 con el fin de
conectar el cable UTP.

La terminacin mecnica de los cables horizontales en el rea de trabajo ser en conectores tipo
Jack modular RJ45 Categora 5 de 8 posiciones. El jack modular RJ45 deber permitir
configuraciones 568A y 568 B. La conexin mecnica entre los 8 conductores del UTP horizontal y
las 8 posiciones del Jack RJ45 deber ser en contactos IDC.

I.D.F CENTRO INTERMEDIO DE DISTRIBUCIN DE CABLEADO:

La localizacin de este cuarto de equipos se puede ver claramente en el plano

Tamao: Siguiendo el estndar TIA/EIA-568-A sobre especificaciones para una LAN-ETHERNET, el
tendido del cableado horizontal estar conectado a un punto central en cada piso, conformando
una topologa en estrella. En este cuarto de equipos o IDF, se hallan montados dos racks, dentro
de los cuales se instalarn los paneles de conexin y los switch necesarios. El cuarto es lo
suficientemente grande para alojar el equipo requerido en el piso y an soportar ampliaciones
futuras.

El cuarto mide 3.0 m X 3.0 m, para un rea de 9.0 m
2

Posee piso falso para facilidad en la instalacin del cableado en general, el acceso al mismo, as
como su mantenimiento.

Especificaciones Ambientales

Temperatura y Humedad

El cuarto tendr un sistema de aire acondicionado independiente, es decir no esta conectada con
los conductos de aire del edificio, para poder mantener la temperatura del cuarto a 21 grados
centgrados, por encima de la habitacin no pasa ninguna caera de agua ni de vapor, para evitar
alguna fuga que posiblemente corroa los cables y dae los dispositivos. Tiene un sistema de
rociadores en seco en caso de incendio.

Iluminacin y tomacorrientes

En este cuarto para controlar la iluminacin principal, hay un interruptor de pared en la parte
interna al lado de la puerta. Hay dos tomacorrientes duplex situados cada uno en las paredes
laterales de la habitacin.
La iluminacin es de una lmpara central fluorescente ubicada a 2,60 metros de altura para evitar
la interferencia externa.



Acceso a la habitacin.

La puerta de la habitacin mide 1,00 metros de ancho y abre hacia fuera, para que los
trabajadores puedan ingresar fcilmente a la habitacin y a sus dispositivos.

RACKS
En el cuarto hay montado 1 Racks, en los que se montar el equipamiento que haga falta. Los
Racks son elementos sobre el cual se soporta toda la estructura del cableado; estos pueden sern
del tipo abierto, anclados al piso en sus cuatro extremos. Se han instalado tan solo un racks ya que
el nmero de nodos tanto de voz como de datos es menor de 30 unidades.

Los racks tienen una altura total de 2 metros, con un rea neta fsica disponible para equipo de
1.80 metros.

Entre la pared y la parte posterior de los racks, hay 75 cm., los que son suficientes para que un
trabajador pueda moverse.

A un costado de los rack hay 1.12 metros.

1
,
8
0

m
e
t
r
o
s

2

m
e
t
r
o
s

Acceso a los Cables y facilidad de mantenimiento
Todo el cableado horizontal desde las reas de trabajo hacia un armario para el cableado se halla
tendido debajo del piso falso.

Paredes pisos y techos
El cuarto no tiene techo falso, garantizando as la seguridad de la instalacin

El piso del cuarto sobre los que se encuentran montados los racks, tiene una capacidad de 4.8
KPA (100lb/ft2), la cual es suficiente para soportar la carga proyectada, as como una expansin
futura.

El cuarto posee un piso elevado (falso), a travs del cual se instalan los cables horizontales
entrantes que provienen de las reas de trabajo.

El acabado del piso falso es del tipo cermica, a fin de controlar polvo y proteger los equipos
tanto del polvo como de la electricidad esttica.














WPA2
WPA2 (Wi-Fi Protected Access 2 - Acceso Protegido Wi-Fi 2) es un sistema para
proteger las redes inalmbricas (Wi-Fi); creado para corregir las vulnerabilidades
detectadas en WPA

WPA2 est basada en el nuevo estndar 802.11i. WPA, por ser una versin
previa, que se podra considerar de "migracin", no incluye todas las
caractersticas del IEEE 802.11i, mientras que WPA2 se puede inferir que es la
versin certificada del estndar 802.11i.
El estndar 802.11i fue ratificado en junio de 2004.
La alianza Wi-Fi llama a la versin de clave pre-compartida WPA-Personal y
WPA2-Personal y a la versin con autenticacin 802.1x/EAP como WPA-
Enterprise y WPA2-Enterprise.

Los fabricantes comenzaron a producir la nueva generacin de puntos de accesos
apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced
Encryption Standard). Con este algoritmo ser posible cumplir con los
requerimientos de seguridad del gobierno de USA - FIPS140-2. "WPA2 est
idealmente pensado para empresas tanto del sector privado cmo del pblico. Los
productos que son certificados para WPA2 le dan a los gerentes de TI la seguridad
que la tecnologa cumple con estndares de interoperatividad" declar Frank
Hazlik Managing Director de la Wi-Fi Alliance. Si bien parte de las organizaciones
estaban aguardando esta nueva generacin de productos basados en AES es
importante resaltar que los productos certificados para WPA siguen siendo
seguros de acuerdo a lo establecido en el estndar 802.11i.








1
0

m
t
s

20 mts
Ascensor
rea de Servicio Al Cliente

r
e
a

d
e

I
n
f
o
r
m
a
c
i

n


Q
u
e
j
a
s






















1
0

m
t
s

20 mts
Ascensor
rea de Servicio Al Cliente
Q
u
e
j
a
s

r
e
a

d
e

I
n
f
o
r
m
a
c
i

n


SWITCH
ROUTER
Router Inalmbrico
Cable Cat 5e y 6a


Todo lo relacionado con las especificaciones mecnicas, elctricas y tcnicas de
los conectores RJ-45, cumplen las mimas especificaciones que las dadas para los dispositivos
utilizados en el nivel 1: Servicio al Cliente.

En este nivel 2, funcionan las dependencias administrativas encargadas del manejo de contabilidad
de la Empresa.

La altura del piso es de 5 metros.









Gerencia Contable
Contabilidad Ventas
P
l
a
n
i
l
l
a
s

Ascensor
1
0

m
t
s

20 mts
Gerencia Contable
Ascensor
Contabilidad Ventas
P
l
a
n
i
l
l
a
s




1
0

m
t
s

20 mts
Tecnologa
Comunicaciones
Comunicaciones




















Bodega
I
n
v
e
n
t
a
r
i
o









Bodega
I
n
v
e
n
t
a
r
i
o



h) Administracion y seguridad de la red

software (monitoreo y configuracin de red)
ip
seguridad
wifi (wpa)
firewall
ids
ips

i) Verificacion y certificacion de la red.

Organismo que certifica verifica

TEMA 4


Nombre Departamento
No. De
Subred
Ip de subred
Mascara de
subred
Broadcast
Ip de inicio de la
subred.
Ip final de la
subred
Servicio al Cliente 1 192.168.100.0 255.255.255.224 192.168.100.31 192.168.100.1 192.168.100.30
Contabilidad 2 192.168.100.32
255.255.255.224 192.168.100.63
192.168.100.33 192.168.100.62
Departamento Tecnologa y
Data Center
3 192.168.100.64
255.255.255.224 192.168.100.95
192.168.100.65 192.168.100.94
Bodega 4 192.168.100.96
255.255.255.224 192.168.100.127
192.168.100.97 192.168.100.126
Servidores 5 192.168.100.128
255.255.255.224 192.168.100.159
192.168.100.129 192.168.100.158
Telefona 6 192.168.100.160
255.255.255.224 192.168.100.191
192.168.100.161 192.168.100.190
Sucursal 7 192.168.100.192
255.255.255.224 192.168.100.223
192.168.100.193 192.168.100.222
Wifi 8 192.168.100.224
255.255.255.224 192.168.100.255
192.168.100.225 192.168.100.254






ADMINISTRACION E INFRAESTRUTURA DE HARWARE DEL CENTRO DE DATOS
a) Esquemas de la Instalacion de los Servidores
b) Diagrama de Instalacion de las Estaciones de Trabajo
c) Diagrama y Protecion de la Red Electrica recomendada
d) Sistemas Operativos Recomendados

red hat (hibrido se paga consultoria) integrado con Oracle base de datos
Windows server (Exchange) correos
Ubuntu (monitoreo red) ipscan,

e) Seguridad y Protecion de Software

Seguridad Perimetral
La seguridad perimetral es uno de los mtodos posibles de defensa de una red, basado en el
establecimiento de recursos de segurizacin en el permetro externo de la red y a diferentes
niveles.

Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios
internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.



Uso de routers apantallados
Un router es un dispositivo cuya misin es conectar dos o ms redes. En una definicin ms amplia
se trata de cualquier dispositivo que cuente con dos o ms interfaces conectadas a redes
diferentes y que controle el trfico de paquetes entre las redes que conecta.

El "router apantallado", en cambio, analiza el paquete de informacin al detalle y establece si
puede ser enviado a su destino en funcin de las polticas de seguridad del sistema.













FIREWALLS DE HARDWARE

Los firewalls basados en hardware protegen todos los equipos de la red. Un
firewall basado en hardware es ms fcil de mantener y gestionar que los firewalls
de software individuales.
La solucin ideal para las pequeas empresas es un firewall de hardware
integrado en una solucin de seguridad completa. Adems de un firewall, la
solucin debe incluir soporte para red privada virtual (VPN), antivirus, antispam,
antispyware, filtrado de contenido y otras tecnologas de seguridad.

Los Dispositivos de Seguridad Adaptativa de Cisco ASA Serie 5500 ofrecen una amplia gama de
caractersticas y posibles ventajas, entre las que se incluyen:
Caractersiticas de seguridad galardonadas
Soporte para dos VPN para comunicacin entre oficinas o partners, con expansin de
hasta 25 (ASA 5505) o 750 (ASA 5520) empleados
Soporte para cualquier tipo de red de rea local desde 5 (ASA 5505) hasta 250 (ASA 5550)
usuarios de red
Opciones mltiples para conexiones de red de alta velocidad, en funcin de sus
necesidades de rendimiento
Paquetes preconfigurados para facilitar los pedidos y la configuracin
Opciones para incrementar la fiabilidad
ASA Serie 5500 de Cisco Entorno ideal Especificaciones clave Caractersticas de
seguridad
ASA 5505 de Cisco

Pequeas empresas u
oficinas en casa
Rendimiento del cortafuegos de 150 Mbps
25 sesiones de usuario de VPN
Admite un mximo de 3 (conexin desactivada)/20
(conexin activada) de interfaces virtuales (VLAN)
Cortafuegos
Servicios VPN
IDS Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500

ASA 5510 de Cisco

Pequeas empresas
Localice un Partner
Rendimiento del cortafuegos de 300 Mbps
250 sesiones de usuario de VPN
50/100 VLAN
Cortafuegos
Seguridad de contenidos
Prevencin de intrusiones
Servicios VPN

Elementos de la seguridad inalmbrica
Para proteger una red inalmbrica, hay tres acciones que pueden ayudar:
Proteger los datos durante su transmisin mediante el cifrado: en su sentido bsico, el cifrado es como un cdigo secreto. Traduce
los datos a un lenguaje indescifrable que slo el destinatario indicado comprende. El cifrado requiere que tanto el remitente como el
destinatario tengan una clave para decodificar los datos transmitidos. El cifrado ms seguro utiliza claves muy complicadas, o
algoritmos, que cambian con regularidad para proteger los datos.
Desalentar a los usuarios no autorizados mediante autenticacin: los nombres de usuario y las contraseas son la base de la
autenticacin, pero otras herramientas pueden hacer que la autenticacin sea ms segura y confiable. La mejor autenticacin es la
que se realiza por usuario, por autenticacin mutua entre el usuario y la fuente de autenticacin.
Impedir conexiones no oficiales mediante la eliminacin de puntos de acceso dudosos: un empleado bienintencionado que goza de
conexin inalmbrica en su hogar podra comprar un punto de acceso barato y conectarlo al zcalo de red sin pedir permiso. A este
punto de acceso se le denomina dudoso, y la mayora de estos puntos de acceso los instalan empleados, no intrusos maliciosos.
Buscar la existencia de puntos de acceso dudosos no es difcil. Existen herramientas que pueden ayudar, y la comprobacin puede
hacerse con una computadora porttil y con software en un pequeo edificio, o utilizando un equipo de administracin que recopila
datos de los puntos de acceso.
Soluciones de seguridad inalmbrica
Existen tres soluciones disponibles para proteger el cifrado y la autenticacin de LAN inalmbrica: Acceso protegido Wi-Fi (WPA),
Acceso protegido Wi-Fi 2 (WPA2) y conexin de redes privadas virtuales (VPN). La solucin que elija es especfica del tipo de LAN
inalmbrica a la que est accediendo y del nivel de cifrado de datos necesario:
WPA y WPA2: estas certificaciones de seguridad basadas en normas de la Wi-Fi Alliance para LAN de grandes empresas, empresas en
crecimiento y para la pequea oficina u oficinas instaladas en el hogar proporcionan autenticacin mutua para verificar a usuarios
individuales y cifrado avanzado. WPA proporciona cifrado de clase empresarial y WPA2, la siguiente generacin de seguridad Wi-Fi,
admite el cifrado de clase gubernamental. "Recomendamos WPA o WPA2 para las implementaciones de LAN inalmbrica en grandes
empresas y empresas en crecimiento", comenta Jeremy Stieglitz, gerente de productos de la unidad comercial de Conexin de Redes
Inalmbricas de Cisco. "WPA y WPA2 ofrecen control de acceso seguro, cifrado de datos robusto y protegen la red de los ataques
pasivos y activos".
VPN: VPN brinda seguridad eficaz para los usuarios que acceden a la red por va inalmbrica mientras estn de viaje o alejados de sus
oficinas. Con VPN, los usuarios crean un "tnel" seguro entre dos o ms puntos de una red mediante el cifrado, incluso si los datos
cifrados se transmiten a travs de redes no seguras como la red de uso pblico Internet. Los empleados que trabajan desde casa con
conexiones de acceso telefnico o de banda ancha tambin pueden usar VPN.
Poltica de seguridad inalmbrica
En algunos casos, puede haber parmetros de seguridad diferentes para usuarios o grupos de usuarios diferentes de la red. Estos
parmetros de seguridad pueden establecerse utilizando una LAN virtual (VLAN) en el punto de acceso. Por ejemplo, puede
configurar polticas de seguridad diferentes para grupos de usuarios diferenciados dentro de la compaa, como por ejemplo, los de
finanzas, jurdico, manufactura o recursos humanos. Tambin puede configurar polticas de seguridad independientes para clientes,
partners o visitantes que acceden a la LAN inalmbrica. Esto le permite utilizar un solo punto de acceso de forma econmica para
ofrecer soporte a varios grupos de usuarios con parmetros y requisitos de seguridad diferentes, mientras la red se mantiene la
segura y protegida.

La seguridad de LAN inalmbrica, aun cuando est integrada en la administracin general de la red, slo es efectiva cuando est
activada y se utiliza de forma uniforme en toda la LAN inalmbrica. Por este motivo, las polticas del usuario son tambin una parte
importante de las buenas prcticas de seguridad. El desafo es elaborar una poltica de usuarios de LAN inalmbrica que sea lo
suficientemente sencilla como para que la gente la cumpla, pero adems, lo suficientemente segura como para proteger la red.
Actualmente, ese equilibrio es ms fcil de lograr porque WPA y WPA2 se incorporan a los puntos de acceso Wi-Fi y los dispositivos
de cliente certificados.

La poltica de seguridad de LAN inalmbrica debera tambin cubrir cundo y cmo pueden los empleados utilizar los puntos activos
pblicos, el uso de dispositivos personales en la red inalmbrica de la compaa, la prohibicin de dispositivos de origen desconocido
y una poltica de contraseas robusta.


f) Diagrama de los centros de datos del proyecto



Tema 5
ESTUDIO DE FACTIBILIDAD

FACTIBILIDAD TCNICA:

Tomando en cuenta y consideracin todas las actividades que realiza Farmacias Salguero, para evaluar el proyecto
informtico, es necesario contemplar el siguiente anlisis.

La empresa no cuenta con un Sistema de Informacin, la forma en que ejecuta los procesos sean internos o externos, se
debe deshacer del equipo que por mucho tiempo estn utilizando y hacer compra de nuevas tecnologas para as no existan
problemas en la conectividad tanto fsica como al ambiente Web que se desea desempear; adems se debe considerar otra
situacin, que el Software (programas) que se instalar es robusto y necesita muchos recursos para que logre cumplir sus
actividades con alto desempeo; tomando en cuenta el avance tecnolgico en el mercado se encuentra la disponibilidad en
comprar ese equipo de Hardware (equipo fsico de cmputo) previendo el soporte que pueden dar estas empresas; si vemos es
software de Base de Datos orientados a la Web a utilizar, para las aplicaciones a realizar en la empresa, no existe problema porque
las casas desarrolladoras a usar contemplan sus soluciones de Software y brindan el soporte tcnico para las dificultades o
adaptabilidades futuras.

La empresa contiene una situacin importante, la base de datos general se encuentra en la ciudad Capital del Pas, siendo
esta la que lleva el control de todos los procesos realizados en toda la repblica, entonces, podra haber una expansin prxima de
la empresa a otros departamentos y municipios, por ello mismo es necesario establecer conexiones fijas a la Internet, por medio de
redes informticas a travs de la WAN (Wide Area Network) y para ello se necesita una base de datos relacional orientada a los
servicios que presta la Internet, para as no tener dificultad en accesar a la informacin desde cualquier punto que tenga privilegios
para la obtencin de estados de productos, clientes, traslados de producto, entregas, empleados, competencias empresariales,
toma de decisiones, publicidad etc.

El Hardware a utilizar debe ser muy potente para mantener estabilidad tanto para lograr levantar las bases de datos como
poder estables fsicamente, del cual ya se prev hacer alguna escalabilidad, donde se debe hacer un sistema a la medida de la
empresa para as poder optar a satisfacer las necesidades de la empresa.


FACTIBILIDAD OPERATIVA:

Este es punto vital, el cual se consideran las actividades a desempear por la empresa, elaboradas por el recurso humano y por
maquinaria que dispone Farmacias Salguero; actualmente el recurso humano, no se encuentra en una gran disponibilidad para
utilizar un sistema de informacin, sencillamente porque en su mayora son del rea administrativa, entonces se llega a la
conclusin de hacer partcipe las capacitaciones para su funcionalidad y cabalidad. En el departamento de sistemas situado en las
oficinas centrales, es el primer lugar para dicha capacitacin; considerando tambin todas las actividades que se realizan en las
sucursales, la informacin es enviada hacia las oficinas centrales o a otra sucursal por medio de correo, esto hace que se dificulte la
integridad de la informacin si existen mtodos manuales para obtencin de los datos.

Las principales operaciones que realiza la empresa Farmacias Salguero a considerar son las siguientes:

Recursos humanos
Compras de productos para la salud
Ventas de productos para la salud
Exportacin de productos a otro departamento o municipio
Importacin de productos desde otro departamento municipio
Publicidad
Toma de decisiones
Implantacin de nuevas tecnologas (experimentacin)
Infraestructura







FACTIBILIDAD ECONMICA:

Aqu se parte hacia el costo de adquisicin del equipo necesario para realizar el proyecto informtico, como tambin la asesora
que dara para la elaboracin y la implementacin de la empresa del Software y Hardware.
Como la empresa se encuentra en una estabilidad excelente, se toma en consideracin la compra de las mejores soluciones que
actualmente se encuentran en el mercado, y para ello se detallan cada una de ellas en la central y para cada una de las sucursales y
puntos de venta.


Factibilidad econmica para Central

Departamento de Sistemas

Estaciones de trabajo (Workstation)
Server (Servidores)

1 Servidor de aplicaciones blade HP ProLiant BLp G2 $1300.00
1 Servidor de Web blade HP ProLiant BL10p G2 $1000.00
1 Servidor de base de datos HP ProLiant G2 $2000.00
1 Servidor de correo blade HP ProLiant AL25p G2 $1200.00
1 Servidor bastin HP ProLiant BL25p $900.00
1 Firewall Cisco 501 $360.00
1 Router D-link 2312 $300.00
2 Switch 18 puertos $200.00
1 UPS Susuki Unlimited 20 (5 minutos para 55
Computadoras conectadas) $1300.00
Arreglo de Discos RAID 10Tb $5000.00
5 Estaciones de trabajo
HP 205 (160 HDD, 256 GbDDR2, Core
Solo 2.1ghz) cada una $300.00 $1500.00

Total Departamento de Sistemas $15860.00


Dems departamentos x 3

Para los dems departamentos como se implantar lo siguiente.
Servidor HP ProLiant $600.00
10 Estaciones de trabajo
HP 205 (160 HDD, 256 GbDDR2, Core
Solo 2.1ghz) cada una $300.00
Con Microsoft Windows XP Home Edition $3000.00
AccessPoint D-link 8310 $250.00
3 Switch 10 puertos $300.00

1 Departamento $4150.00
Total 3 Departamentos $12450.00







Gerencia

Para la alta gerencia se toma en consideracin agregar el siguiente contenido de equipo para la toma de decisiones.

1 Proyector Viewsonic d3m de 2800 lmenes $1000.00




Factibilidad econmica para puntos de venta

Como no todos los puntos son similares, se hace un enfoque similar al que posee edificio central

Servidor HP ProLiant $600.00
12 Estaciones de trabajo
HP 205 (160 HDD, 256 GbDDR2, Core
Solo 2.1ghz) cada una $300.00
Con Microsoft Windows XP Home Edition $3600.00
AccessPoint D-link 8310 $250.00
3 Switch 10 puertos $300.00
1 Router D-link 2312 $300.00
1 Firewall Cisco 201 $300.00

Total Finca A $5350.00
Total Finca B $5350.00
Total Finca C $5350.00
Total Finca D $5350.00
Total Finca E $5350.00
Total Fincas $26750.00

Conexiones, cableado estructurado y instalacin de equipo y configuracin
Cable UTP (Unshielded Twister Pair) Categora 5
Norma TIA/EIA 568.b
Conectores RJ45(Registred Jack)
Canaletas
Rack con 5 Patch panel $12000.00
Total $12000.00


Total inversin en Equipo $57260.00

Software a utilizar
DBMS
1 Licencia para Oracle 11g $28000.00
Para aplicaciones Web y base de datos para
10 usuarios
2 Licencia Microsoft Visual Basic 2005 $1000
100 Licencias de Karspersky Solution
Antivirus, Spyware, Malaware $4000.00
10 Licencias de Microsoft Windows
Advanced Server 2003
Para los servidores $3500.00
3 SQL Server 2007 $6000.00

Total Software $47000.00


DESARROLLO DEL SISTEMA, IMPLANTACION, CONEXIONES Y CONFIGURACIONES Y PRUEBAS

El Software completo desarrollado hecho a la
Medida
Completo $35000.00



ANLISIS COSTO-BENEFICIO DE LA EMPRESA

La empresa tiene activos muy altos y sus ganancias son aproximadamente de $45000.00 mensuales el costo-beneficio del
sistema se ver marcado en tres meses con 11 das aproximadamente. Despus de haberse instalado completamente en todas
las localidades.

Sistema de informacin
Total inversin en Equipo $57260.00
Total Software $47000.00
Sistema Completo $35000.00


Completo $139260.00




Grfica Costo-Beneficio del sistema
$139260






Precio Sistema

Completo










Marzo Abril Mayo Junio

$45000 $90000 $135000 $180000




DIAGRAMA DE CONEXIN DEL SISTEMA GENERAL


CONEXIN ENTRE SUCURSALES REGIONALES
Servidor de Base de Datos
Router
Firewall
Internet
Sucursal o punto de venta
Tablet
SmartPhone
Servidor Fsico
Servidores Virtualizados
Web FTP Correo
Estacin de Trabajo
Operador o Administrador
Vendedor
Cliente Online
PC o Laptop
Telfono
Telfono IP
Telfono IP
Cliente Telefnico
Telfono
Red de Telef ona
Convencional
Cliente
Central
Impresora
Impresora
Aplicaciones




Central
Sucursal
Sucursal
Sucursal
Sucursal
Sucursal
Sucursal
Sucursal
Central
Sucursal
Posibles
Sucursales
Farmacias
existentes
Sucursal
Sucursal
Internet
TEMA 6
AUDITORIO DE SISTEMAS A LOS PROCESOS PROPUESTOS DEL PROYECTO

a) Planeacin y Programacin de una Auditoria informtica

Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn
dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo.
En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos
objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin
de informtica a evaluar.

Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto, planear el programa de
trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo
de la misma.
Investigacin preliminar:
Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no
necesaria y la fecha de su ltima actualizacin.
La investigacin preliminar se debe realizar solicitando y revisando la informacin de cada una de las reas basndose en los
siguientes puntos:
Administracin
Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y
solicitud de documentos para poder definir el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura a auditar se debe solicitar Al rea de informtica:
Objetivos a corto y largo plazo.
Recursos y materiales tcnicos:
Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas.
Estudios de viabilidad.
Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados)
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas de uso de los equipos.
Sistemas
Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de
informacin.
Manual de normas
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes
situaciones.
Se solicita la informacin y se ve que:
No se tiene y se necesita.
No se tiene y no se necesita.
No se tiene pero es necesaria.
Se tiene la informacin:
No se usa
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, est actualizada, es la adecuada y est completa.
Personal participante
Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus
caractersticas.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente
capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense
justamente por su trabajo.
Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el
personal que intervendr en la auditora.


b) Evaluacin de los sistemas y procedimientos.
La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas
entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratgico para
la elaboracin de los sistemas o si se estn elaborados sin el adecuado sealamiento de prioridades y de objetivos.
El plan estratgico deber establecer los servicios que se presentarn en un futuro contestando preguntas como las siguientes:
Cules servicios se implementarn?
Cundo se pondrn a disposicin de los usuarios?
Qu caractersticas tendrn?
Cuntos recursos se requerirn?
La estrategia de desarrollo deber establecer las nuevas aplicaciones, recursos y la arquitectura en que estarn fundamentados:
Qu aplicaciones sern desarrolladas y cuando?
Qu tipo de archivos se utilizarn y cuando?
Qu bases de datos sern utilizarn y cuando?
Qu lenguajes se utilizarn y en que software?
Qu tecnologa ser utilizada y cuando se implementar?
Cuantos recursos se requerirn aproximadamente?
Cul es aproximadamente el monto de la inversin en hardware y software?
En lo referente a la consulta a los usuarios, el plan estratgico debe definir los requerimientos de informacin de la dependencia.
Qu estudios van a ser realizados al respecto?
Qu metodologa se utilizar para dichos estudios?
Quin administrar y realizar dichos estudios?
En el rea de auditora interna debe evaluarse cul ha sido la participacin del auditor y los controles establecidos.
Por ltimo, el plan estratgico determina la planeacin de los recursos.
Contempla el plan estratgico las ventajas de la nueva tecnologa?
Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios?
El proceso de planeacin de sistemas deber asegurarse de que todos los recursos requeridos estn claramente identificados en el
plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) debern ser compatibles con la
arquitectura y la tecnologa, conque se cuenta actualmente.
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de
factibilidad, diseo general, anlisis, diseo lgico, desarrollo fsico, pruebas, implementacin, evaluacin, modificaciones,
instalacin, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.

c) Evaluacin de los equipos de cmputo
Una direccin de Sistemas de Informacin bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cmputo. Los
dispositivos del sistema de cmputo, los archivos magnticos, pueden ser daados si se manejan en forma inadecuada y eso puede traducirse en perdidas
irreparables de informacin o en costos muy elevados en la reconstruccin de archivos. Se deben revisar las disposiciones y reglamentos que coadyuven al
mantenimiento del orden dentro del departamento de cmputo.
1. Indique la periodicidad con que se hace la limpieza del departamento de cmputo y de la cmara de aire que se encuentra abajo del piso falso si existe y los
ductos de aire:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa ( ) Otra (especifique) ( )
2. Existe un lugar asignado a las cintas y discos magnticos?
SI ( ) NO ( )
3. Se tiene asignado un lugar especifico para papelera y utensilios de trabajo?
SI ( ) NO ( )
4. Son funcionales los muebles asignados para la cintoteca y discoteca?
SI ( ) NO ( )
5. Se tienen disposiciones para que se acomoden en su lugar correspondiente, despus de su uso, las cintas, los discos magnticos, la papelera, etc.?
SI ( ) NO ( )
6. Indique la periodicidad con que se limpian las unidades de cinta:
Al cambio de turno ( ) cada semana ( )
cada da ( ) otra (especificar) ( )
7. Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de cmputo?
SI ( ) NO ( )
8. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin?
SI ( ) NO ( )
9. Se tiene restringida la operacin del sistema de cmputo al personal especializado de la Direccin de Informtica?
SI ( ) NO ( )
10. Mencione los casos en que personal ajeno al departamento de operacin opera el sistema de cmputo:
EVALUACIN DE LA CONFIGURACIN DEL SISTEMA DE CMPUTO
Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el
cual el sistema operativo satisface las necesidades de la instalacin y revisar las polticas seguidas por la unidad de informtica en la conservacin de su
programoteca.
Esta seccin esta orientada a:
a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cmputo con la carga de trabajo actual o de comparar la capacidad instalada con los
planes de desarrollo a mediano y lago plazo.
b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.
c) Evaluar la utilizacin de los diferentes dispositivos perifricos.
1. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existe equipo?
Con poco uso? SI ( ) NO ( )
Ocioso? SI ( ) NO ( )
Con capacidad superior a la necesaria? SI ( ) NO ( )
Describa cual es ____________________________________________________
2. El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de menor costo?
SI ( ) NO ( )
3. Si la respuesta al inciso anterior es negativa, el equipo puede ser cancelado?
SI ( ) NO ( )
4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser cancelado o cambiado.
________________________________________________________________
5. El sistema de cmputo tiene capacidad de teleproceso?
SI ( ) NO ( )
6. Se utiliza la capacidad de teleproceso?
SI ( ) NO ( )
7. En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso?
SI ( ) NO ( )
8. Cuantas terminales se tienen conectadas al sistema de cmputo?

9. Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
SI ( ) NO ( )
10. La capacidad de memoria y de almacenamiento mximo del sistema de cmputo es suficiente
para atender el proceso por lotes y el proceso remoto?
SI ( ) NO ( )




d) definicin y alcance de los objetivos
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informtica.

Para su realizacin el auditor debe conocer lo siguiente:

Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para realizar esto en auditor
deber fijarse en:

1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia.

2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El equipo auditor describir brevemente
las funciones de cada uno de ellos.

3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por el contrario
detectar, por ejemplo, si algn empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario, indican relaciones no estrictamente
subordinables.

4) Flujos de Informacin:
Adems de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de
informacin horizontales y oblicuas extradepartamentales.

Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente gestin, siempre y cuando tales
corrientes no distorsionen el propio organigrama.

En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin los cuales las funciones no
podran ejercerse con eficacia; estos canales alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el
organigrama que los representa.

Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades personales o simple comodidad. Estos flujos de
informacin son indeseables y producen graves perturbaciones en la organizacin.

5) Nmero de Puestos de trabajo
El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la organizacin corresponden a las
funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones operativas
redundantes.

Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal circunstancia y expresarn el nmero
de puestos de trabajo verdaderamente diferentes.

6) Nmero de personas por Puesto de Trabajo
Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal determina que el nmero de
personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin.

2.1.3- Fase 3: Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va a desenvolverse.

Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

a. Situacin geogrfica de los Sistemas:

Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en la empresa. A continuacin, se verificar la
existencia de responsables en cada unos de ellos, as como el uso de los mismos estndares de trabajo.

b. Arquitectura y configuracin de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos, ya que los mismos deben constituir
un sistema compatible e intercomunicado. La configuracin de los sistemas esta muy ligada a las polticas de seguridad lgica de las
compaas.

Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de los equipos.

c. Inventario de Hardware y Software:
El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos de la instalacin. En cuanto a
Hardware figurarn las CPUs, unidades de control local y remotas, perifricos de todo tipo, etc.

El inventario de software debe contener todos los productos lgicos del Sistema, desde el software bsico hasta los programas de
utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.

d. Comunicacin y Redes de Comunicacin:

En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas principales de las lneas, as como de los
accesos a la red pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informticos realizados
en la empresa auditada. Para ello debern conocer lo siguiente:

a. Volumen, antigedad y complejidad de las Aplicaciones
b. Metodologa del Diseo

Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de las aplicaciones. Si se han utilizados varias
a lo largo del tiempo se pondr de manifiesto.

c. Documentacin
La existencia de una adecuada documentacin de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de los mismos.

d. Cantidad y complejidad de Bases de Datos y Ficheros.
El auditor recabar informacin de tamao y caractersticas de las Bases de Datos, clasificndolas en relacin y jerarquas. Hallar
un promedio de nmero de accesos a ellas por hora o das. Esta operacin se repetir con los ficheros, as como la frecuencia de
actualizaciones de los mismos.
Estos datos proporcionan una visin aceptable de las caractersticas de la carga informtica.

2.1.4- Fase 4: Determinacin de recursos de la Auditora Informtica
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de
emplearse en la auditora.

- Recursos humanos

- Recursos materiales

Recursos materiales

Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas de software
propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas
de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

a. Recursos materiales Software

Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos del
cliente para verificarlos.

Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de Sistemas del auditado y de la
cantidad y calidad de los datos ya existentes.

b. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse
necesariamente en las Computadoras del auditado.

Para lo cul habr de convenir el, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado depende de la
materia auditable.

Es igualmente sealable que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de
probada experiencia multidisciplinaria.

Perfiles Profesionales de los auditores informticos

Profesin

Actividades y conocimientos deseables

Informtico en general

Con experiencia amplia en ramas distintas. Es deseable que su labor se haya desarrollado en Explotacin y en Desarrollo de
Proyectos. Conocedor de Sistemas.

Experto en Desarrollo de Proyectos

Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologas de Desarrollo ms
importantes.

Tcnico de Sistemas

Experto en Sistemas Operativos y Software Bsico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos
de Explotacin.

Experto en Bases de Datos y Administracin de las mismas.

Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos
conocimientos de explotacin

Experto en Software de Comunicacin

Alta especializacin dentro de la tcnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de
teleproceso.

Experto en Explotacin y Gestin de CPDS

Responsable de algn Centro de Computos. Amplia experiencia en Automatizacin de trabajos. Experto en relaciones humanas.
Buenos conocimientos de los sistemas.

Tcnico de Organizacin

Experto organizador y coordinador. Especialista en el anlisis de flujos de informacin.

Tcnico de evaluacin de Costes

Economista con conocimiento de Informtica. Gestin de costes.

Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de trabajo. Decidido ste, se
procede a la programacin del mismo.

El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:

a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y
costosa.

b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios,
sino las especialidades necesarias del personal.

En el Plan no se consideran calendarios, porque se manejan recursos genricos y no especficos
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios
En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisin.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo suficientemente como para permitir
modificaciones a lo largo del proyecto.


TEMA 7
SEGURIDAD EN APLICACIONES WEB QUE INCLUYA EL PROYECTO

Los ataques a nivel de aplicacin son una amenaza en constante aumento contra la seguridad Web. Utilizan una gran variedad de
medios para paralizar un sitio Web e introducirse en l, lo que provoca resultados que varan desde un menor rendimiento del sitio
Web hasta robos de datos y una desproteccin de la infraestructura.
Mltiples Objetivos

Los ataques a nivel de aplicacin y de inyeccin pueden estar dirigidos contra varios tipos de caractersticas dentro del sitio. O bien
intentan atacar la propia aplicacin Web, o retransmiten lgica a una base de datos donde podrn comprometer la informacin all
almacenada. Independientemente de si almacena informacin confidencial en su sitio, o de si tiene un sitio Web que funcione
nicamente como un sitio promocional, los ataques a las aplicaciones Web pueden tener un efecto negativo tanto sobre su
rendimiento empresarial como sobre su marca.
Los Tres Tipos Principales de Ataques:

SQL Injection, donde se utilizan consultas falsas a la base de datos para sobrecargar aplicaciones crticas y bases de datos o
infiltrarse en ellas.
Cross Site Scripting, donde las vulnerabilidades en XSS permiten a los atacantes introducir un script que se ejecuta en el navegador
del usuario.
Ejecucin de Archivos Maliciosos, en la que los atacantes pueden introducir datos y cdigo hostiles al explotar la vulnerabilidad de
una aplicacin para una inclusin remota de archivos.



a) Formacion


b) Vulnerabilidad y Amenazas

Vulnerabilidades son fragilidades presentes en sistemas de informacin, procesos,
equipamientos y redes, que pueden causar impactos a las organizaciones, afectando sus negocios.

Las vulnerabilidades pueden ser clasificadas en los siguientes tipos:
a) Fsica: son aquellas asociadas a las instalaciones, como controle de acceso, energa,
climatizacin, incendios, inundacin, etc.
b) Hardware y Software: estn relacionadas a fallas en los equipamientos y en las
aplicaciones.
c) Comunicacin: involucran las fragilidades relacionadas a los sistemas de
comunicacin de datos; y
d) Humana: estn relacionadas a las fragilidades en concientizacin, capacitacin y
formacin de los tcnicos y operadores de los sistemas y equipamientos.


Las grandes amenazas de seguridad de las aplicaciones Web estn asociadas a las
siguientes caractersticas intrnsecas a este tipo de entornos:
Las aplicaciones Web en Internet estn pblicamente disponibles.
La ubicuidad de las aplicaciones Web es muy elevada, ya que estn
disponibles en prcticamente cualquier entorno de computacin.
Las aplicaciones Web estndar utilizan el puerto TCP/80 (HTTP) y las que
emplean cifrado mediante SSL (Secure Socker Layer) o TLS (Transport
Layer Security) emplean el puerto TCP/443 (HTTPS). Por tanto, los
firewalls tradicionales de manera general deben dejar pasar el trfico hacia
estos puertos, y son de poca utilidad en el filtrado de ataques directos sobre
la aplicacin Web.
HTTP es un protocolo complejo que permite recibir datos del usuario (en la
URL mediante el mtodo GET, en el cuerpo de la peticin mediante el
mtodo POST, mediante mtodos HTTP ms avanzados, a travs de
cookies, mediante cabeceras HTTP, etc) para su procesamiento.

Entre otras


c) Tipos de ataques

Ingeniera Social
2.5.11 Es una tcnica que no requiere muchos conocimientos de redes y de aplicaciones, ya que
usa la persuasin, explorando la ingenuidad o la confianza del usuario para obtener informaciones que
pueden ser importantes para la violacin de la seguridad de un sistema. El foco de la atencin del atacante
son, por lo tanto, las personas y no la tecnologa.
Phishing
2.5.12 La idea de esta tcnica es la obtencin de informaciones por medio del envo de mensaje
no solicitada por la vctima, intentando de hacer que la comunicacin sea una informacin legtima de una
institucin financiera conocida, un rgano del gobierno, una empresa multinacional o un sitio popular.
Asociado a ella, sigue un link que direcciona para un sitio falso muy parecido con el sitio de la institucin,
llevando el usuario a suministrar datos como su login y password.
Packet Sniffing
2.5.13 Son herramientas de software instaladas en equipos conectados a una red, en modo
promiscuo, que permiten la captura de datos existentes en los paquetes de los mensajes tramitados por la
red.
2.5.14 Esta tcnica de recoleccin tambin es utilizada por los administradores de las redes, como
forma de analizar su desempeo, siendo conocidos como analizadores de protocolos.
2.5.15 La bsqueda por vulnerabilidades es hecha por herramientas de software que identifican
las caractersticas de las aplicaciones y sistemas ms utilizados en las organizaciones. La tcnica consiste
eN la obtencin de respuestas suministradas por el sistema para algunas interrogaciones hechas por el
scanner. Se puede obtener, por ejemplo:
2.5.16 Es una tcnica utilizada por los atacantes para la bsqueda de informaciones cerca de los
servicios disponibles en una red o sistema, por medio de las puertas de comunicacin utilizadas por los
protocolos de comunicacin, a ejemplo del TCP/IP.

Exploits o cdigos maliciosos
2.5.19 Ms conocidos como malwares, son los software que inician la secuencia de eventos para
la exploracin de vulnerabilidades y el consecuente comprometimiento de la red o sistema.
2.5.20 Algunos malwares son presentados a seguir:
Virus
2.5.21 Es un programa de computadora que infecta una mquina por medio de la ejecucin de un
software legtimo pero infectado. Por lo tanto, un virus depende de otro software para infectar la mquina y
difundir.
Worm
2.5.22 Es un programa que se propaga automticamente en las redes y que no necesita de
ejecucin explcita por un usuario o por un software. As, no hay dependencia de otro software para infectar
la mquina. Una caracterstica de los worms es que consumen muchos recursos de la red y de los sistemas.
Spyware
2.5.23 Son cdigos maliciosos que poseen el objetivo de recolectar informaciones digitadas en
formularios web, sitios visitados en la Internet, etc. O sea, son tcnicas de recoleccin de datos pero
necesitan de infeccin hecha anteriormente por un malware.

Loggers
2.5.24 Bsicamente son software que capturan informaciones en computadoras. Existem los
keyloogers, que capturan las teclas digitadas en una computadora, y los screenloggers, que capturan la
imagen de la pantalla (screen).
Trojans
2.5.25 Son programas que se presentan como algo de til para el usuario pero contienen cdigos
maliciosos.
Exploits
2.5.26 Programas (o kits de programas) que tornan fcil la exploracin de vulnerabilidades
conocidas de sistemas operativos y aplicaciones. No requiere muchos conocimientos de redes o de sistemas
de informacin.
2.5.27 En secuencia, sern descritos algunos ataques de denegacin del servicio:
IP spoofing
2.5.28 El ataque de spoofing es basado en una situacin en que una entidad loga pasar con xito
por otra. En el caso de IP spoofing, el atacante puede falsificar una direccin IP de origen con el envo de
paquetes IP de origen diferente de su propia direccin IP, hacindose pasar por otra mquina. La
falsificacin de direcciones IP se utiliza principalmente en los ataques de denegacin de servicio, donde el
atacante necesita que muchas de las respuestas se envan no a l sino a la mquina que desea atacar.
DNS spoofing
2.5.29 En este ataque el servidor DNS utilizado por el host blanco del ataque es invadido y su
informacin cambiada a asignaciones incorrectas entre nombres y direcciones. As, cada vez que una
aplicacin de usuario utiliza un nombre particular que ha sido cambiado, l se comunicar con una entidad
falsa. Por ejemplo, si la direccin IP de una pgina ha cambiado en DNS, el navegador redirige al usuario a
la pgina falsa sin reporte de que direccin est en uso ( para eso sirven DNS, navegadores, etc.) El servidor
que hospeda esta pgina falsa est preparado por el atacante para robar informacin del usuario sin que l se
diera cuenta.
ARP spoofing
2.5.30 El ARP spoofing es una tcnica de suplantacin de identidad en el que un atacante intenta
suplantar a un destinatario legtimo de la comunicacin en respuesta a consultas ARP enviadas por la fuente
de trfico. La respuesta del atacante se enva dentro del dominio de broadcast antes de que el destinatario
tiene una legtima oportunidad de hacerlo. As, tanto el equipo de origen como el swicth aprenden un mapeo
falso entre la direccin MAC (el atacante) y la direccin IP (el destino legtimo). De esto, todos los frames
estn encapsulados por el origen con la direccin MAC del atacante y se conmutan mediante el switch en la
puerta donde el atacante est basado en el MAC.

Dos
2.5.31 Dos (Denial of Service) es un ataque que tiene el objetivo de interrumpir la disponibilidad
de un determinado servicio, sistema o red. Muchas de las tcnicas utilizadas son conocidas como flooding
(inundacin) y sus blancos son los servidores utilizados por varios usuarios, como DNS y de pginas web.
2.5.32 Una ampliacin del poder de este tipo de ataque es el DDOS (Distributed Denial of
Service), donde el atacante hace uso de varias mquinas (miles) para atacar un determinado servicio,
servidor o sistema.


d) Mecanismos de Defensas

La estrategia y metodologa de seguridad de aplicaciones Web est formada por
numerosos componentes que se complementan entre s. Este apartado detalla los
aspectos fundamentales a considerar para el diseo, desarrollo, mantenimiento y
evaluacin de la seguridad en entornos Web.
28. Los elementos de seguridad principales de un entorno o aplicacin Web deben
incluir:
Formacin en seguridad de aplicaciones Web
Arquitectura e infraestructura (sistemas y redes) segura
Metodologa de seguridad de desarrollo de aplicaciones Web
Metodologa de anlisis de seguridad de aplicaciones Web
29. La estrategia y metodologa de seguridad debe incluir adicionalmente los siguientes
componentes:
Formacin en seguridad

Instalacin y configuracin segura de sistemas y redes (arquitectura)
- Actualizaciones: servidor Web y de aplicacin, framework, etc
Desarrollo de software seguro
- Gestin de versiones y actualizaciones
Web Application Firewalls (WAF)
Auditoras de seguridad
- Caja negra: pruebas de intrusin y Web Application Security
Scanners (WASS)
- Caja blanca: revisin de cdigo manual y automtico
Respuesta ante incidentes
30. Para alcanzar un nivel de seguridad adecuado en el entorno o aplicacin Web es
necesario involucrar tanto a administradores como a desarrolladores. No es posible
proporcionar un entorno Web seguro sin la colaboracin de ambos grupos.


e) Seguridad del cdigo

La programacin defensiva es el resultado de la aplicacin de una serie de tcnicas que tienen como objetivo minimizar el nmero de errores que puede presentar
un sistema de informacin, as como presentar una arquitectura y cdigo que adems de servir de soporte al objetivo anterior permita realizar un mantenimiento
del sistema de la forma ms limpia posible y minimizando o eliminando posibles efectos colaterales.
Aplicar esta tcnica requiere incrementar notablemente el nmero de controles y comprobaciones que se realizan desde el cdigo ya que se querrn dar
respuesta al mayor nmero de casusticas posibles, as como ser muy metdico en la aplicacin de pruebas unitarias, pruebas de integracin y pruebas de
sistema desde etapas muy tempranas del desarrollo.

Ejemplo de un login












protected void Logon_Click(object sender, EventArgs e)
{
log.Info("Trata de autenticarse: " + UserEmail.Text +
"/********");
if (verificar(UserEmail.Text, UserPass.Text))
{
log.Info("Usuario autenticado");
// redireccin o a Inicio
}
else
{
log.Error("Usuario " + UserEmail.Text + "/" + UserPass.Text + "
incorrectos");
Msg.Text = "Nombre o Clave de Usuario son invlidos, o el
usuario ha sido dado de baja";
}
}

f) Auditoras de seguridad
Caja negra: prueba de intrusin

El concepto principal de un test de caja negra es simular los mtodos de ataque de un hacker con sus mismos recursos. El auditor slo dispone de informacin
pblica sobre el objetivo, y a travs de esta intenta identificar los agujeros de seguridad que puedan comprometer informacin sensible o las operaciones del
sistema. Cuando se aplica correctamente este test, se puede simular no slo ataques de hackers al azar, sino tambin de hackers que se dedican a obtener algn
acceso inicial al sistema.
Este test imita lo que un verdadero hacker hara, y proporciona al cliente una evaluacin realista del nivel de riesgo al que est expuesto el sistema. Si el auditor
puede identificar alguna vulnerabilidad a travs de este test es probable que un hacker tambin pueda identificarla.
Pros:
1. Proporciona una estimacin real de las amenazas.
2. Obtiene los resultados a travs de la informacin pblica.
3. Requiere un esfuerzo mnimo del cliente.
Contras:
1. Puede ser un esfuerzo recopilar la informacin.
2. Pueden pasar desapercibidas puertas traseras o vulnerabilidades parciales.
3. Las recomendaciones para reparar fallos son generales.
Pruebas realizadas con esta metodologa:
1. Pruebas de Penetracin de Infraestructura/Red.
2. Pruebas de Penetracin de Aplicaciones.
3. Ataque simulado completo.

Tcnicas de caja negra:
Vulnerabilidades de tipo 'deface';
Vulnerabilidades de tipo 'cross-site scripting';
Vulnerabilidades de tipo 'spoofing';
Vulnerabilidades de tipo inyeccin de SQL;
Vulnerabilidades de tipo inyeccin de cdigo;
Vulnerabilidades derivadas de la validacin de entrada / salida;
Vulnerabilidades derivadas del anlisis de tiempos;
Vulnerabilidades de sincronizacin;
Vulnerabilidades de tipo desbordamiento de memoria;
Vulnerabilidades basadas en secuestro de sesiones;
Vulnerabilidades en los equipos de la red local;
Vulnerabilidades basadas en 'sniffing' de la red;
Vulnerabilidades basadas en escaladas de privilegio;
Vulnerabilidades en la gestin de contraseas.
Inyeccin de cdigo;
Autentificacin incompleta y gestin de sesiones;
Referencias directas a objetos inseguros;
Configuracin incorrecta de la seguridad de aplicaciones;
Almacenamiento criptogrfico inseguro;
Problemas de acceso a URLs restringidas;
Proteccin del nivel de transporte insuficiente;
Redirecciones no validadas.

El anlisis de caja negra se centra en estudiar las vulnerabilidades de seguridad de la
aplicacin Web desde el punto de vista de un atacante externo.
101. El analista, actuando como atacante, no dispone de ningn tipo de informacin previa
relativa a la aplicacin y mucho menos del cdigo de la misma.
102. El anlisis se basa en la interaccin del analista con la aplicacin Web. Mediante la
generacin de diferentes estmulos o datos de entrada, se analiza la respuesta o datos
de salida, con el objetivo de identificar posibles vulnerabilidades.
103. Los datos de entrada deben ser especialmente manipulados para provocar la ejecucin
de excepciones y condiciones no esperadas, como errores en la ejecucin de scripts,
errores provenientes de la base de datos, errores del servidor Web (HTTP 500), etc.
Este proceso implica tpicamente la utilizacin de caracteres especiales segn los
elementos que conforman la aplicacin Web.
104. Ejemplos:
Para detectar la existencia de vulnerabilidades de inyeccin SQL es
necesario enviar como datos de entrada caracteres especiales para la base
de datos, como por ejemplo el carcter (comilla simple) empleado en
las consultas SQL.

Para detectar la existencia de vulnerabilidades de XSS (Cross-Site
Scripting) es necesario enviar como datos de entrada caracteres especiales
en el procesamiento de scripts en los navegadores Web, como por ejemplo
la etiqueta HTML <script> empleada en la inclusin de scripts en pginas
Web.
105. La metodologa a seguir es similar a la empleada en las pruebas de intrusin, donde el
anlisis desde el punto de vista del atacante se divide en varias fases que permiten
obtener informacin de la aplicacin y sus posibles vulnerabilidades.
106. Las fases tpicas de este proceso son:
Reconocimiento, tambin conocida como descubrimiento o identificacin
Enumeracin o escaneo
Deteccin y verificacin de vulnerabilidades
107. Para el estudio necesario en cada una de estas fases existen numerosas herramientas
que permiten analizar e identificar vulnerabilidades en aplicaciones Web de forma
automtica. Se recomienda la lectura de la siguiente gua CCN-STIC:
CCN-STIC-818 Herramientas de Seguridad [Ref.- 9]
108. El anlisis mediante herramientas automticas debe ser complementado con anlisis
manuales (pruebas de intrusin), ya que dada la naturaleza y complejidad de las
aplicaciones Web, se estima que estas herramientas slo pueden encontrar entre un
20-60% de las vulnerabilidades existentes en la aplicacin.

Caja blanca: revisin de cdigo
El anlisis de caja blanca se centra en estudiar las vulnerabilidades de seguridad de la
aplicacin Web desde el punto de vista del desarrollador.
110. El analista, actuando como desarrollador, dispone de acceso completo al cdigo
fuente de la aplicacin para su revisin.
111. La metodologa a seguir se centra en realizar un anlisis exhaustivo del cdigo de la
aplicacin en busca de funciones vulnerables o de la ausencia de mtodos que
permitan, por ejemplo, validar la entrada recibida por el usuario.
112. Desde un punto de vista general, a la hora de establecer controles especficos sobre
una aplicacin Web es necesario conocer las recomendaciones y soluciones
disponibles para el lenguaje de programacin empleado: Java, PHP, .NET, etc.
113. Por este motivo, es necesario disponer de documentacin adicional relativa al
lenguaje de programacin de la aplicacin Web, tal como funciones y libreras que
permiten validar y normalizar las entradas del usuario en el lenguaje empleado.

Dentro de las reas de revisin de cdigo se deber analizar el cdigo de la aplicacin
Web en busca de vulnerabilidades de:
Desbordamientos de memoria (buffer overruns y overflows)
Inyeccin de comandos en el sistema operativo
Inyeccin de comandos SQL en la base de datos
Validacin de los datos de entrada
XSS (Cross-Site Scripting)
CSRF, Cross Site Request Forgery
Manejo y generacin de errores
Gestin de logs
Autentificacin
Autorizacin
Gestin de sesiones
Cifrado, tanto en almacenamiento como en trnsito
Condiciones de carrera (race conditions)


g) Respuesta ante incidentes
Los planes de respuesta a incidentes ayudan a evaluar la naturaleza del caso, identificar posibles implicaciones del caso si ste
aumenta (o disminuye) en gravedad, establece lneas de comunicacin con respecto al caso, ayuda a montar y poner en marcha el o los equipo(s)
de respuesta capacitado(s) para manejar el evento y fungir como un punto de decisin para el lanzamiento de los planes de recuperacin de
desastres, planes de continuidad de negocio, planes de evacuacin, planes de emergencia contra incendios y otras actividades de respuesta a
emergencias.

Para responder correctamente a cualquier incidente, se necesita lo siguiente:
Minimizar la cantidad y gravedad de los incidentes de seguridad.
Crear un CSIRT principal (Computer Security Incident Response Team, Equipo de respuesta a incidentes de seguridad informtica).
Definir un plan de respuesta a incidentes.
Contener los daos y minimizar los riesgos.

El CERT (Equipo de Disponibilidad de Emergencia Informtica) incluye las siguientes funciones entre los miembros del CSIRT:
Gestionar o liderar el equipo.
Ayudar a los gestores, supervisores y lderes de grupo.
Personal de Hotline, help desk, o triage.
Gestin de incidentes.
Tratamientos de vulnerabilidad.
Personal de anlisis de artefactos.
Especialistas de plataforma.
Formadores.
Control de tecnologa.


Minimizacin de la cantidad y gravedad de los incidentes de seguridad
En la mayora de los mbitos de la vida, es mejor prevenir que curar, y la seguridad no es una excepcin. Siempre que sea posible, se desear evitar
que, en primer lugar, se produzcan incidentes de seguridad. No obstante, resulta imposible evitar todos los incidentes de seguridad. Cuando se
produce un incidente de seguridad, se debe garantizar que se minimice su repercusin. Para minimizar la cantidad y repercusin de los incidentes
de seguridad, debe seguir estas pautas:
Establecer claramente y poner en prctica todas las directivas y procedimientos. Muchos incidentes de seguridad estn provocados
accidentalmente por el personal de TI, que no ha seguido o no ha entendido los procedimientos de administracin de cambios, o bien no
ha configurado correctamente los dispositivos de seguridad, como pueden ser los firewall o los sistemas de autenticacin. Las directivas y
los procedimientos se deben probar exhaustivamente para garantizar que son prcticos y claros, y que ofrecen el nivel de seguridad
apropiado.
Obtener compatibilidad administrativa para las directivas de seguridad y el control de incidentes.
Evaluar de forma regular las vulnerabilidades del entorno. Las evaluaciones deben ser realizadas por un experto en seguridad con la
autoridad necesaria (con derechos de administrador de los sistemas) para llevar a cabo estas acciones.
Comprobar con regularidad todos los sistemas y dispositivos de red para garantizar que tienen instaladas las revisiones ms recientes.
Establecer programas de formacin sobre la seguridad tanto para el personal de TI como para los usuarios finales. La mayor vulnerabilidad
de cualquier sistema es el usuario carente de experiencia. El gusano ILOVEYOU aprovech de forma eficaz esa vulnerabilidad entre el
personal de TI y los usuarios finales.
Se deben enviar pancartas de seguridad que recuerden a los usuarios sus responsabilidades y restricciones, junto con la advertencia de que
se pueden emprender acciones legales en caso de infraccin. Estas pancartas facilitan el hecho de reunir pruebas y procesar a los
atacantes. Se debe buscar asesoramiento legal para asegurarse de que la redaccin de las pancartas de seguridad es apropiada.
Desarrollar, implementar y poner en prctica una directiva que requiera contraseas seguras. Para obtener ms informacin sobre
contraseas, consulte el apartado "Aplicacin del uso de contraseas seguras en las organizaciones" del kit de orientaciones sobre
seguridad.
Supervisar y analizar con regularidad el trfico de red y el rendimiento del sistema.
Comprobar con regularidad todos los registros y mecanismos de registro, incluidos los registros de eventos del sistema operativo, los
registros especficos de aplicacin y los registros de sistema de deteccin de intrusiones.
Comprobar los procedimientos de restauracin y copia de seguridad. Debe saber dnde se almacenan las copias de seguridad, quin tiene
acceso a ellas y los procedimientos para la restauracin de datos y la recuperacin del sistema. Asegrese de que las copias de seguridad y
los medios se comprueban con regularidad mediante la restauracin selectiva de datos.
Crear un CSIRT para abordar los incidentes de seguridad. Para obtener ms informacin sobre los CSIRT, consulte la siguiente seccin de
este documento.




TEMA 8
POLITICAS DE SEGURIDAD DE DATOS DEL PROYECTO PROPUESTO

El contenido de este documento debe tener la estructura de las politicas de seguridad de los datos
a) Ambito de aplicacin de la seguridad de los datos.
Este documento tiene por objeto establecer las medidas de ndole tcnica y
organizativas necesarias para garantizar la seguridad que deben reunir los
ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas,
programas y las personas que intervengan en el tratamiento automatizado de
los datos de carcter personal
Las medidas tcnicas y organizativas establecidas por el Reglamento deben aplicarse sobre:
- Los ficheros automatizados, entendidos como todo conjunto organizado de datos de carcter personal, cualquiera que fuere su forma o
modalidad de creacin, almacenamiento, organizacin y acceso.
- Los centros de tratamiento, entendidos como los lugares habilitados donde se encuentran los ordenadores, equipos y servidores que almacenan
la informacin.
- Los locales, entendidos como aquellos lugares donde se encuentran fsicamente ubicados los equipos y el personal que trata datos.
- Los equipos: todo material en soporte fsico que sirva para tratar y almacenar electrnicamente datos personales.
- Los sistemas y programas informticos que tratan los datos de carcter personal.
- Las personas que acceden a los datos: personal laboral que, de acuerdo con sus funciones y obligaciones, interviene en cualquiera de las fases del
tratamiento de los datos (recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo, cancelacin, consulta, etc...).

debe proteger los datos confidenciales, restringidos o delicados para evitar que posibles fugas daen el prestigio o afecten de forma negativa a
los clientes. Tanto la proteccin de estos datos como la flexibilidad para acceder a ellos y la conservacin de la productividad son requisitos
crticos para la empresa.

Este control tecnolgico no est diseado para evitar robos maliciosos o detectar todos los datos. Su principal objetivo es fomentar la
concienciacin de los usuarios para evitar fugas accidentales. En esta poltica se describen los requisitos para la prevencin de fugas de datos,
las razones para su uso y su finalidad.


b) Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar los datos
A continuacin exponemos todas las medidas, normas, procedimientos,
reglas y estndares encaminados a garantizar el nivel de seguridad siendo todo
ello de obligado cumplimiento por el personal de GES diferenciando por un lado
lo referente a hardware y ubicacin y por otro lado a software de aplicacin y
ficheros.
Hardware y Ubicacin
- El acceso a los locales de la compaa se realizar siempre bajo el
control de guarda jurado situado en la puerta de entrada (24 horas,
365 das). En la prctica cualquier empleado que necesite entrar en
la Compaa fuera del horario de oficina debe comunicar por escrito
su identificacin fiscal, nombre, apellidos y motivo para que todo
esto conste en la mesa de control del guarda jurado y ste controle
la entrada y salida de cada uno, anotando en un listado de
incidencias hora de llegada y hora de salida.
- La puerta de acceso a la sala de servidores, en la segunda planta,
est cerrada con llave de forma permanente. Slo las personas
autorizadas (responsable de seguridad, administradores y
desarrollo), tendrn acceso a la zona de ubicacin de servidores y
salvo en casos excepcionales ninguna otra persona puede acceder.
Si esto se produce, los responsables debern anotar en un listado
identificacin de la persona, hora de entrada, hora de salida y
motivo de la entrada .
- La relacin de personas con acceso fsico a la sala de servidores del
stano
- El local donde se guardan cartuchos, cintas y cualquier otro
dispositivo de almacenamiento externo est cerrado con llave y slo
las personas autorizadas (responsable de seguridad, administradores
y desarrollo) podrn acceder. Adems dichas personas deben velar
para que dicha puerta est siempre cerrada e impedir la entrada
forzada del personal no autorizado as como registrar las entradas
excepcionales del personal no autorizado.

De igual forma en CALCULO S.A., entidad que presta a GES servicios de
OUTSOURCING como encargado de tratamiento:
- La posibilidad de entrar en sus locales est limitada por el uso de
clave de acceso o con llave para las personas responsables de la
seguridad en general.
- En los contratos de prestacin de servicios y en comunicaciones
posteriores se ha solicitado a CALCULO S.A. que en la sala donde
reside el HOST del que recibimos OUTSOURCING, como la sala de
servidores ubicada en sus instalaciones se adopte por parte de esta
compaa la misma actuacin que en el punto anterior referido a
GES, as como todos los requisitos de seguridad que le competen.
Software de Aplicacin y Ficheros
- Cada persona tendr un usuario y una clave asociada para el acceso
a la red con niveles de autorizacin asignados por responsable del
fichero y del sistema. Tanto el usuario como la clave son propiedad
de esa persona y no deber informar a terceros. Deben de poner el
mximo cuidado en su utilizacin y absoluta confidencialidad en su
archivo.
- Los distintos niveles de autorizacin permiten acceder al aplicativo
de cualquier software de aplicacin de las existentes en la compaia.
Los usuarios tendrn acceso autorizado nicamente a aquellos datos
y recursos que precisen para el desarrollo de sus funciones, el
responsable del fichero establecer mecanismos para evitar que un
usuario pueda acceder a datos o recursos con derechos distintos de
los autorizados y slo el responsable de seguridad podr conceder,
alterar o anular el acceso autorizado sobre los datos y recursos.
- Siguiendo con los dos puntos anteriores y cumpliendo el artculo 11
de identificacin y autenticacin el responsable del fichero se
encargar de que exista una relacin actualizada de usuarios que
tengan acceso autorizado al sistema de informacin y de establecer
procedimientos de identificacin y autenticacin para dicho acceso,
existiendo un procedimiento de asignacin, distribucin y
almacenamiento que garantice su confidencialidad e integridad. Las
contraseas se cambiarn con una periodicidad mensual y estn
almacenadas de forma que slo el responsable del fichero puede
acceder a ellas.

Dentro de ARIES (software de aplicacin ms importante con el que
trabajamos para la gestin del negocio propio de nuestra compaa)
existen otra serie de controles:
- Estadstica de actividad por usuario con fecha, hora, ordenador
desde el que realiz el acceso, aplicacin a la que accede y
ficheros utilizados.
- Entrada restringida a ISQL (Interactive System Query Language)
controlada por el administrador del sistema.
- Extraccin de consolas con las acciones realizadas contra los
ficheros.
- Copias de seguridad.
- Log y Archive de base de datos.
- La posibilidad de accesos externos a nuestra red a travs de Internet
est controlada por un FIREWALL. Adems todos los accesos son
registrados quedando constancia de quin, cundo y qu ficheros ha
tratado.
- Tambin los accesos efectuados a los distintos ficheros y aplicaciones
residentes en GES, queda registrado en un log de accesos, indicando
usuario y hora.

Medidas para que el Personal Conozca las Normas de
Seguridad
- Reunin inicial dentro de la Compaa, por grupos de trabajo, como
introduccin a la normativa sobre tratamiento de datos de carcter
personal. En sta se repasan punto por punto las exigencias de la ley
y de su normativa de desarrollo, se hace una lectura del documento
de medidas de seguridad de los ficheros automatizados que
contengan datos de carcter personal aprobado en GES. Asimismo
se explica el procedimiento a seguir (contenido en los puntos que a
continuacin se relacionan) dentro de la Compaa para que todo el
personal conozca las normas de seguridad vigentes y las posibles
actualizaciones futuras.
- El documento de medidas de seguridad estar guardado fsicamente
en una unidad de red a la que todo el personal de GES tendr acceso
para cualquier consulta que desee realizar. Tambin estar
disponible en la Intranet y extranet de la compaa para su consulta
por parte de estos o de los agentes
- El Responsable de Seguridad ser el nico responsable del
mantenimiento y actualizacin de dicho documento.
- Todas las personas de GES estn obligadas al conocimiento y
cumplimiento de lo expuesto en el documento y no pueden hacer
ningn tipo de copia que salga fuera de la Compaa.
- El desconocimiento de lo expuesto en el documento no exime de su
cumplimiento. Todo el personal de GES est obligado a su
conocimiento y en caso de tener dudas est obligado a preguntar al
responsable y ste a su vez est obligado en aclarar cualquier duda
que surja.
- Las futuras modificaciones y/o actualizaciones se notificarn por
correo interno a todo el personal, si bien cuando stas sean
significativas se evaluar y decidir en el momento si es conveniente
transmitirlo mediante una reunin por grupos de trabajo.

Gestin de Soportes
- Los soportes informticos que contienen datos de carcter personal
permiten identificar el tipo de informacin que contienen, ser
inventariados y almacenarse en un lugar con acceso restringido al
responsable.
- Cumpliendo lo estipulado en el artculo 13 de gestin de soportes,
stos dispositivos estn perfectamente rotulados con el tipo de
informacin que contienen y existe un inventario, revisado de forma
peridica, con toda la informacin que existe en el local. El sistema
de identificacin, inventario y custodia de soportes.
- Las mismas medidas de identificacin y control se aplican a los
soportes o dispositivos enviados a los cesionarios o encargados del
tratamiento de la informacin, que siempre es autorizada por el
responsable de seguridad.
- Las medidas que se adoptarn para la destruccin, inutilizacin o
reciclado de soportes.

Destruccin de soportes informticos.
- Sern destruidos los CDs y disquetes cuando se desechen,
imposibilitando que puedan ser utilizados o manipulados cuando
esto ocurra.
- Los discos duros de los equipos desechados sern retirados y
formateados adecuadamente para suprimir la informacin que
contengan, en el caso de ser reutilizados, en caso contrario, es decir,
eliminacin, se procede a su destruccin.




c) Diagrama de los niveles de seguridad exigidos en el proyecto para los datos.



TEMA 9
IMPLEMENTACION Y CAPACITACION DEL PROYECTO PROPUESTO

a) Diagrama y Cronologia de la implementacion del proyecto
b) Documentacion del Proyecto, manual del usuario, manual de instalacion, manual operativo
c) Cronologia de la Capacitacion a los Usuarios finales y Usuarios Administrativos.
d) Pruebas finales y entregra del proyecto.

TEMA 10
SISTEMAS DE INFORMACION GERENCIAL

a) Establecer quienes deben de utilizar los datos generados por el software del proyecto.
Gerentes, jefes de departamento, etc
b) Fijar los objetivos a corto y largo plazo de las entidades que incluya el proyecto
c) Identificar los datos que se requieren para resolver problemas sucitados por usuarios finales.
d) Revisar todos los procedimientos existentes para mejoras en la informacin.